Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 76
дыра известная — подтверждаю. несколько раз тоже случайно из логов статистики(веб based) попадал в ящик юзера.
прочитайте про xss — много интересного узнаете.
а «дырка» через сессию — это очень жестко…
а «дырка» через сессию — это очень жестко…
Насчёт именно mail.ru не знаю, но встречать в логах подобное доводилось.
mail.ru вообще дырявый, пароль при передачи на сервер тоже не шифруеться…
О ужас! А хабр-то вообще тогда решето!
А ведь и правда, пользователи mail.ru будут считать, что безопасно — у них ИЕ почти у всех :)
Да уж, приобрести нормальный сертификат копейки стоит.
Что-то порядка 12 000 000 копеек…
Дык сказано — же, есть https://secure.mail.ru/
Дык сказано — же, есть https://secure.mail.ru/
Если вы посмотрите на адресную строку внимательно, вы увидите, что проблемы с сертификатом именно на указанном вами сайте secure.mail.ru.
https://www.thawte.com/ssl-digital-certificates/buy-ssl-certificates/
SSL Web certificate стоит $249. В каких-нибудь вьетнамских донгах эта сумма может выглядеть внушительно (4 127 175 VND), но вообще, для компании это копейки.
SSL Web certificate стоит $249. В каких-нибудь вьетнамских донгах эта сумма может выглядеть внушительно (4 127 175 VND), но вообще, для компании это копейки.
IE7 тоже предупреждает.
Чувак, да ты крутой.
Обсирать ИЕ сейчас модно. Сделай это ещё раз. Покажи всем, какой ты модный чувак. Покажи пацанам, как ты круто опустил ИЕ.
Обсирать ИЕ сейчас модно. Сделай это ещё раз. Покажи всем, какой ты модный чувак. Покажи пацанам, как ты круто опустил ИЕ.
«Использовать cookie для авторизации
Опцию „Использовать cookie для авторизации“ предпочтительно не выключать. Включение этой опции позволяет системе сохранять сессию в данном п/я, при этом не нарушая безопасности этого п/я. Выключение этой опции нарушает безопасность, так как позволяет передавать информацию на чужие сайты. Выключать ее стоит только при „попадании“ в чужой п/я (данная ошибка обычно возникает при неправильно настроенном proxy-сервере).»
эта опция у аккаунта похоже была отключена…
Опцию „Использовать cookie для авторизации“ предпочтительно не выключать. Включение этой опции позволяет системе сохранять сессию в данном п/я, при этом не нарушая безопасности этого п/я. Выключение этой опции нарушает безопасность, так как позволяет передавать информацию на чужие сайты. Выключать ее стоит только при „попадании“ в чужой п/я (данная ошибка обычно возникает при неправильно настроенном proxy-сервере).»
эта опция у аккаунта похоже была отключена…
А еще лучше выключить реферреры. Кажется правильно написал :)
Можно или в фаерволе или в настройках браузера.
Можно или в фаерволе или в настройках браузера.
ну да, а ещё флеш, яваскрипт и ещё что-нибудь .)
а потом сталкиваться с очевидно вытекающими из этого проблемами.
Мне кажется, это уже параноя. Лучше просто не пользоваться сайтами с такой кривой авторизацией.
а потом сталкиваться с очевидно вытекающими из этого проблемами.
Мне кажется, это уже параноя. Лучше просто не пользоваться сайтами с такой кривой авторизацией.
Вы абсолютно правы. Но коль на то уж пошло, почему не использовать почтовую программу? :)
Вопрос. Это относится ко всем сервисам mail? Или только к почте? (инфу об этом не нашел)
Вам не надоело жрать кактус???
какое то обостренное внимание в последнее время к mail.ru похоже они многих обидели чем то=) з. ы. сам предпочитаю гмыл
гмыл рулит конечно.
но от этого можно легко защититься… и вообще если вам так дорог адрес на мыло. ру делайте редирект…
мэйл. ру погиб в тот момент как полетел спам в ящики их мэйлклиентов.
но от этого можно легко защититься… и вообще если вам так дорог адрес на мыло. ру делайте редирект…
мэйл. ру погиб в тот момент как полетел спам в ящики их мэйлклиентов.
гуголь сцуко рулит, яндекс тоже ничего, но майл ру — скачиваю только почтовой программой.
во первых нелюбовь к веб-интерфейсам, а во вторых, нет инета а нужное письмо можно пошукать в архиве
во первых нелюбовь к веб-интерфейсам, а во вторых, нет инета а нужное письмо можно пошукать в архиве
Мейл. ру — унылая говномешалка для детей, не знающих других почтовых сервисов.
так говорить нельзя, мне так кажется, там работают люди, может быть плохо, но работают. Копипастят/клонируют — но работают. Ваш выбор пользоваться/непользоваться.
Дети — цветы жизни, пусть юзают то, что им больше нравится.
А мы, кактусы смерти, будем юзать гугл.
А мы, кактусы смерти, будем юзать гугл.
Гугл — корпорация зла, которая следит за каждым твоим шагом
для меня майлру умер лет 6-7 назад
Мне совершенно непонятно, как можно сессию не привязывать хоть к чему-то кроме самой сессии.
$session==md5($user_agent.$user_ip.$user_login.$salt) ? true : false
решает почти все проблемы.
vlza то что ты тут сейчас рассказал нам лишь полпроцента того объёма багов через который можно почитать чужой ящик ОСОБЕННО на майл ру и его доменах
я с уверенностью могу пользоваться лишь той почтой домен и сервер которой принадлежат лично мне.
и никак иначе.
а те люди которые будут контролировать мою переписку на уровне датацентра… чтож я ничего с ними поделать не могу:)
я с уверенностью могу пользоваться лишь той почтой домен и сервер которой принадлежат лично мне.
и никак иначе.
а те люди которые будут контролировать мою переписку на уровне датацентра… чтож я ничего с ними поделать не могу:)
Меня поражают люди, до сих пор использующие мейл. ру
Одно время у меня была возможность юзать скрип, представляющий собой сборник различных xss на разных почтовых сервисов — mail.ru в том числе. Точнее не различных, а тех, что после открытия письма пользователя абсолютно не заметно кидает на фейковую страницу авторизации — не знаю точно как был огранизован фейк, но адресная строка оставалась win.mail.ru. Ну а введенные данные логировались. Все это работало около двух месяцев, мб больше.
Автор этого чуда, в августе продал сниффер, работающий через xss на том же меир ру — открываете письмо — вся почта, которая есть на ящике копируется к автору письма.
От скрипта первого у меня осталось только название и в общем сам скрип есть в паблике — уже не работающий. Если интересно, спросите меня в личке.
Автор этого чуда, в августе продал сниффер, работающий через xss на том же меир ру — открываете письмо — вся почта, которая есть на ящике копируется к автору письма.
От скрипта первого у меня осталось только название и в общем сам скрип есть в паблике — уже не работающий. Если интересно, спросите меня в личке.
Да когда ж люди наконец поймут, что мэйл. ру позорит почтовые службы…
на втором скриншотике у Елены, которой ящик взломали — 24 письма от Рокфеллера:)
В Одноклассниках такая же фигня.
О дыре на мейл. ру знаю давно, поэтому пользуюсь только google почтой, а мейл ру служит чисто для получения рассылок. Как только я узнал об этой ошибке, я не мог поврерить, что такой гигант как мейл. ру мог допустить такую оплошность.
mail.ru не одни такие… тоже пару раз заходил на почту со статитстики посещений сайта.
это просто прекрасно. нет, серьезно. эту дыру мы с коллегой обнаружили году эдак в 2001-2002. похихикали, отзвонились и отписались в mail.ru, предупредили. нас поблагодарили и пообещали дырку залатать. прошло семь лет…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Зияющая дыра в Mail.ru?