Добрый вечер Хабр! Сегодня пятница, и я снова в эфире!
Этот топик не будет отличаться оригинальностью, и в нем я снова буду сыпать соль на раны клиентам бесплатных почтовых служб. В комментариях к моему предыдущему топику «Ограбление по-дилетантски или о том, как Яндекс хранит пароли» bar_boss указал, что Mail.ru так же не отличается заботой о защите пользовательских учетных данных. Я решил проверить, и вот результат — та же самая уязвимость во всей красе. Пользователи Майл.ру, привет! Говорить о неповоротливости службы поддержки Майла, в отличие от аналогичной службы у Яндекса, можно часами. Делаем ставки, как долго указаная уязвимость не будет закрыта…
UPD Сапорт Mail.ru все-таки читает Хабр, спустя сутки, уязвимость кажется уже справлена.
UPD2 А RNZ предположительно нашел другой случай передачи паролей открытым текстом.
Все просто как в детской считалке:
1.
2.
3.
4.
5. Заглядываем в исходный код страницы, все как на ладони!
Они и не подумали прикрыть незащищенную задницу пользователя хотябы https, как и в случае с Яндексом. Последний тем временем все у себя уже исправил.
Пользователи бесплатных почтовых ящиков все еще надеятся, что их данные надежно защищены? Еще как!
Этот топик не будет отличаться оригинальностью, и в нем я снова буду сыпать соль на раны клиентам бесплатных почтовых служб. В комментариях к моему предыдущему топику «Ограбление по-дилетантски или о том, как Яндекс хранит пароли» bar_boss указал, что Mail.ru так же не отличается заботой о защите пользовательских учетных данных. Я решил проверить, и вот результат — та же самая уязвимость во всей красе. Пользователи Майл.ру, привет! Говорить о неповоротливости службы поддержки Майла, в отличие от аналогичной службы у Яндекса, можно часами. Делаем ставки, как долго указаная уязвимость не будет закрыта…
UPD Сапорт Mail.ru все-таки читает Хабр, спустя сутки, уязвимость кажется уже справлена.
UPD2 А RNZ предположительно нашел другой случай передачи паролей открытым текстом.
Все просто как в детской считалке:
1.
2.
3.
4.
5. Заглядываем в исходный код страницы, все как на ладони!
Они и не подумали прикрыть незащищенную задницу пользователя хотябы https, как и в случае с Яндексом. Последний тем временем все у себя уже исправил.
Пользователи бесплатных почтовых ящиков все еще надеятся, что их данные надежно защищены? Еще как!