Ограбление по-дилетантски-2 или о том, как Mail.ru хранит пароли

[@danilissimus]

писец.
на хабре что, одни идиоты?
а как по вашему должен зранить пароли СБОРЩИК почты? если они будут в закрытом виде — то он и залогиниться на сервер не сможет.

[@coceg]

Понятно, что хранить придется в открытом, проблема в том, что он их показывает

[@leonid-lapidus]

Поддерживаю.

Ничего не мешает отсылать пользователю просто мусор в пароле (а лучше вообще пустой). При отправки формы шифровать пароль и передовать. Хотя бы так.

[@Ar2r]

Вы что. Для этого мозг нужен. Тем более майл.ру сделан так, что бы мозг не нужен был при чтении и отправки почты :-)

[@hirviko]

Ну так ведь в расчёте на аудиторию.

[@Alaunquirie]

Мэйл ру сделан так, что мосск вообще не нужен :) Ни в каком случае :)

[@Zyava]

Возникает резонный вопрос, а ну же ли сам мейл.ру?

[@Jeditobe]

Сборщик отдавать никому в открытом виде обратно не должен. Уже обсуждалось в предыдущем топике.

[@Never]

Но зачем сразу в форме выдавать вбитый реальный пароль?
Выводили бы «mypassword» и проверяли, если не изменили поле и оно все еще с тем же значением — значит смены пароля не было.

Это действительно показатель «легкого» отношения к безопасности клиентов.

[@Jeditobe]

Это виртуальная девушка. Вы так наивны.

[@Jeditobe]

Извините, не так Вас понял =)

[@yoihj]

Сборщик должен хранить пароли в ЗАКРЫТОМ виде, но используя двустороннее шифрование (то есть с возможностью расшифровки), это конечно не панацея, но добавит проблем взломщику. А в форме смены пароля должно быть вообще что-нибудь типа VALUE="##do-not-change-saved-password##" (но уж никак не пароль!). Ну и https конечно нужен.

[@fltz]

А если у моего ящика пароль '##do-not-change-saved-password##' ⊙﹏⊙
Я не очень в веб-программировании, но как на счет присылать пустое VALUE, а звездочки пока поле пустое эмулировать (так же, как выводится «Поиск по сайту» в поле ввода тут на хабре, в самом верху).

[@AHTOLLlKA]

да… на хабре много идиотов… обычно их коменты не видны…

[@zepps]

Как вы сможете использовать данную уязвимость для атаки какого-то конкретного почтового ящика?

[@Jeditobe]

Зная, что мы сидим с жертвой на одном и том же спутнике — просеять эфир.
Проснифит трафик со свитча.
Да как угодно. Подойти к кпомпу, когда жертва залогинилась в почту и отвлеклась, и посмотреть — повреждения не требуется.

[@Jeditobe]

«Подтверждения ввода мастер пароля», я хотел сказать.

[@zepps]

Да, но точно так же вы можете отснифать пароль, который передает жертва POST-запросом при логине на mail.ru.

[@Jeditobe]

Способов миллион, как узнать пароль от «мастер»-ящика.

[@ivlis]

про ssl слышали что-то?

[@zepps]

И все-же я спрашивал, как перехватить какой-либо конкретный пароль.

Взять, например, мой ящик — zepps@list.ru. Если в личку вышлете мне мой пароль, тогда все будет понятно.

[@Jeditobe]

Этот топик не про сам взлом почтовых ящиков на мейл.ру, а про его последствия. И да, я не хакер.

[@zepps]

Я так полагаю, что этот коммент минусуют те, кто любит рассуждать о том, как элементарно хакаются ящики на mail.ru и то что это может сделать даже пенсионерка. Но как только им предлагается попробовать самим это сделать, то это предложение задевает за живое.

[@Toseter]

Вопрос не в том на сколько сложно или просто вскрыть ящик на мейл.ру, вся соль в том что если такое случиться жертва лишится всех аккаунтов с которых собирается почта с помощью этого самого мейл.ру.

[@Lector]

в упор не могу понять — что такого в хранении пароля на странице, на которую можно попасть уже зная пароль?
только не надо рассказывать про инет-кафе, где можно узнать пароль зазевавшегося посетителя, отошедшего покурить и
не закрывшего окно почты. это из другой оперы.
паранойя у некоторых товарищей иногда просто зашкаливает.

[@Toseter]

Ок вот объяснение на пальцах.
Есть аккаунт А@mail.ru, B@yandex.ru, C@rambler.ru и тд.
Аккаунт A@mail.ru является главным и собирает почту c аккаунтов B@yandex.ru и C@rambler.ru.

Человек получает доступ к аккаунту A@mail.ru и с помощью данной недоработки получает доступ к B@yandex.ru и C@rambler.ru, потому что сервер mail.ru вернул их пароли в открытом виде в форму.

[@Serzhenko]

Если человек получил доступ к аккаунту A@mail.ru, то остальные пароли ему уже не нужны, ибо вся интересующая его почта и так уже на A@mail.ru собрана. :)

[@Toseter]

логично :)

Но все же согласитесь, что вред от того когда пароль отдается в открытом виде больше, чем от просто собранных писем.

Можно сейчас кучу ситуаций придумать, но зачем?

[@Serzhenko]

Ну я и не спорю, что открытые пароли — нехорошо :)

[@Sauron]

Одно дело читать письма, и совсем другое — на них отписывать (-;

[@crizis]

> ибо вся интересующая его почта и так уже на A@mail.ru собрана

А если человека интересует не пришедшая уже сейчас почта, а та, что придёт позже? Например, пользуясь приведёнными адресами предположим, что на B@yandex.ru зарегистрированы домены/хостинги и можно запросить восстановление пароля для доступа в административные интерфейсы, а на C@rambler.ru — чисто гипотетически, аккаунт paypal с авторизованной кредиткой. На получение всех этих данных потребуется накое-то время, так что владелец адресов, обнаружив взлом A@mail.ru, вполне может успеть поменять пароли к ящикам, чтобы сборщик от mail.ru ничего не получил. Если же злоумышленник может посмотреть пароли к другим ящикам, то велика вероятность, что истинный владелец ничего поменять уже не успеет.

[@Serzhenko]

Согласен, сразу не подумал.

[@AHTOLLlKA]

вот тебя несет то, ты сам вчитайся в свои посты, ты чего-то не понимаешь видемо в этой жизни…
речь не о том как легко хекаеца ящик или не хекаеца на мейл.ру
а данная уязвимость поможет нам если мы уже имеем доступ к ящику на котором настроен сборщик =\
вооообщем вы не в теме…

[@BaBL]

можно пригласить Вас на http ссылку в которой будет фрейм с адресом настроек мейлрушного сборщика. Если у тебя куки от мейлру сохранились и бразуер автоматом залогинится — через JS самого документа выдрать parent.password.value. Все этом можно сделать размером 1х1 и даже не заметишь.

[@TheRipper]

Нельзя на js через DOM залезть во фрейм с другого домена.

[@david_mz]

Да не только же в сниффинге дело. А ещё в том, что при угоне одного ящика взломщик может запросто получить реквизиты нескольких других.

[@tpolm]

Если вы сидите с жертвой рядом, на одном спутнике или можете получить доступ к свитчу, можно просто поснифать POP3-трафик и узнать пароли от любой почтовой системы. А еще можно трояна на машину поставить и узнать ваще все :)). Во всех остальных случаях описанная вами «уязвимость» бесполезна.

Вывод: безопасность она не уменьшает.

[@alexleo]

Не совсем так. Если у человека настроен собиратель почты, то пароли от других ящиков по pop3 с его машины никуда не передаются как бы.

Если чел ходит в почту через web, то в момент логина mail.ru переключается на https, так что пароль их ящика вы прослушкой не утянете, а вот остальные пароли- запросто. А если человек ходит через проксик, то они еще и на диске окажутся.

Ну а ситуацию с угоном пароля от ящика на mail.ru уже разбирали.

Так что безопасность уменьшается и еще как.

[@Jeditobe]

Хотелось бы ссылочку на «разбор угона».

[@noma4i]

о да! Помню времена своей «рыбалки» на тарелке. Помимо мега потока порева, еще можно было страницы получать, причем нередко с закрытых частей сайтов и с паролями :)

[@standov]

трояном пошарить в кеше браузера, снифить трафик… да в конце концов пользователь может сам сохранить себе страницу а она потом попадет не в те руки

[@BaBL]

пароль передается открытым текстом, достаточно снифернуть трафик мейлрушника и получить пароли к его сборщикам.

[@dyakov]

Во фрейме на любом сайте сделать ссылку на эту страницу, если юзер залогинен, то из родительского фрейма яваскриптом читаем пароль

[@jazzman]

интересно, мне одному мозолит глаза написание «майл»?

[@Jeditobe]

Соглашусь и исправлю.

[@Kastrulya]

мэйлру вообще мало о чем заботится. эталон кривизны просто. лагает все, что может…

[@serafims]

Странно, я противоположного мнения.). Их версия интерфейса edu.mail.ru позволяет выполняет те задачи, которые я на нее возлагаю, и система их выполняет…

[@malinov]

Проблемы нет. Покажите мне хоть одного у кого таким образом украли пароль от почты…

[@SerJook]

Кто следующий на очереди? Rambler? Или где еще держат почту хомячки, не осилившие Gmail?

[@d1v3r]

Да, давайте посмотрим как с этим у Рамблера?

И узнаем кто реализовывал там сборщик почты.

[@ZVaness]

И ещё одну «сенсационную» статью? :(

[@Jeditobe]

Если так, то я просто проведу анализ почтовых серверов рунета и сделаю краткое резюме по теме.

[@Finderom]

Не понимаю в чем проблема.

Если трафик слушается, то пароль отснифят еще когда он на сервер идет.
Если браузер или ОС заражен, то его стырят в момент ввода.

Если ни то и ни другое, то что плохого в том, что сервер вернул пароль обратно?
Где он может засветится.
Сервер отдал пароль пользователю который его и так знает.
Заглядывание из-за плеча не в счет, так можно что угодно взломать.

Работа без https это в 100 раз большая дыра чем, то что сервер возвращает пароль обратно.

[@Finderom]

Сорри, протупил.

[@shuvalov]

>то что плохого в том, что сервер вернул пароль обратно?
Он вернул другой пароль.

[@Idris]

Бесплатное оно и в Африке бесплатное!

[@rayevg]

Создатели GMail думают иначе.

[@Idris]

Хорошо там, где нас нет?

[@rayevg]

Ну я там есть :)

[@Mobby]

Извините, у меня ещё осталось 50 приглашений на Gmail, может поделиться с вами?

[@Blackside]

Gmail умнее )

[@vlad1k]

Снифферы, троян шарит в кэше… Как все сложно.

Злоумышленнику достаточно встроить на свою страницу скрытый iframe с адресом win.mail.ru/cgi-bin/rpop, с помощью js нажать на кнопку «изменить», и с помощью него же вытащить из поля значение пароля.

[@vlad1k]

Не знаю поменялось ли что-то принципиально в безопасности браузеров в этом плане, но во времена моей бурной интернетной молодости мне этого хватало, чтобы посетители сайта про меня и моего хомячка голосовали за него в распостраненых в то время любительских site-award'ах, сами не подозревая о том.

[@akirsanov]

изменилось принципиально — появились кросс-доменные политики.

[@vlad1k]

Значит заслуженно заминусовали — глупость сказал. Простите дурака.

[@crazyASD]

В позапрошлом-прошлом году ставил с mail.ru эксперимент, сутью которого было выяснить, откуда там берутся такие неразгребаемые горы спама.
Подопытный ящик имел название вроде zakaz-archilib@mail.ru.
Информация о ящике нигде не публиковалась.
Ящик не вскрывался пол года.
Через пол года в ящике было порядка 450 спам-сообщений…

PS.Вы всё еще пользуетесь mail.ru?

[@crazyASD]

Ну собственно говоря, так и предполагалось. Просто было интересно проверить.

[@ZVaness]

Не Вы один это проверили. Но кстати стоит зайти в ящик через неделю — там уже спама хватает. Причём спама изощрённого, который спам-фильтры (почему-то до сих пор) не ловят.

[@XPyCT]

mail уже не удивляет данными дырами

[@noma4i]

я был в офисе мейл.ру. Я мог остановить это безумие, но небыло взрывчатки…

[@Jeditobe]

А между тем Mail.ru собирается приобрести ICQ

[@deniamnet]

пароль — SerezhenkaZverev? :D
это уже клиника, ребята ))

[@hulinada]

>Пользователи Майл.ру, привет!
Привет! :D

[@YES]

Параша ваш Мэил.ру, не первое тому подтверждение

[@DEHiCKA]

Был у меня корпоративный почтовый акк для переписки с узким кругом коллег.
Спама на нем за 3 года было от силы пару писем в день.
Неделю назад послал мыло коллеге у которого акк на мейлру.
Буквально через пару дней после этого корпоративный акк накрыло волной спама.

[@Ten]

Я еще у mail.ru нет IMAP…

[@AndrewTishkin]

Но был… (
corp.mail.ru/press.html?action=show&id=244&mode=2

[@Ten]

И правда ведь был… а куда делся-то?..

[@Zyava]

Наверное, оказался очень сложным протоколом для их девов…

[@v1z]

да у маила много недостатков. Однако мой первый ящик появился именно там, и теперь использую его для регистрации на различных форумах, где не жалко засветить адрес

А еще у них есть очень малоизвестная версия сайта без рекламы

[@v1z]

а еще есть pro.mail.ru оО

[@woodoo]

а на mail.ua с этим всё в порядке:

[@Zyava]

Хмм, и? И еще у тысяч бесплатных почтовых серверов все в порядке…

[@Ram0n]

Я тоже использую мэйл.ру в основном для регистрации на форумах или любых других сайтах. Для личной почты использую gmail. =)

[@RNZ]

Поправлено? Главная страница:

form name=«Auth» method=«post» action="http://win.mail.ru/cgi-bin/auth" style=«overflow: hidden;»
…
input type=«submit» value=«Войти» tabindex=«6» class=«submit»

/form

Разве submit не в открытом виде пойдёт?

У яндекса вроде на этот счёт ровно:

form action=«passport.yandex.ru/passport?mode=auth...;retpath=http://mail.yandex.ru» method=post onsubmit=«return (window.navigator.yHTTPSsupport? secureForm(this): true);»

А вот у хабра как? Может кто пояснит, пасс разве не в открытом виде летит:

form action="/ajax/auth/" method=«post» class=«register register_form tm-form ajax» name=«login»

[@Jeditobe]

В моем топике речь шла несколько о другом, и тот недостаток кажется уже исправленным. Что не уменьшает значимости косяка, найденого Вами.