Добрый вечер Хабр!
Мне снова есть, что рассказать. Наверное, Вы помните мои предыдущие топики (1,2) на тему хранения\передачи паролей в открытом виде? Найденные мною прорехи были спешно залатаны, но правильных выводов никто так и не сделал (из технического персонала компаний). Поэтому Вы и читаете этот топик.
Как я и обещал, я решил проверить еще какой-нибудь популярный почтовый сервер услугой сборщика почты. Выбор пал mail.qip.ru. Почему? Да потому, что это достаточно старая и известная многим Почта.ru, но под другой вывеской.
1. Хм. Всплывающее окошко на AJAX отпугнет почти любого диллетанта. Но не меня =)
2. Почти без надежды смотрю в исходный код и вдруг обнаруживаю там заготовку для вплывающего окошка на слоях, заботливо помеченную авторами кода. Меня тип поля для ввода пароля, а волшебный браузер Опера помогает применить результат к прямо активной странице
3. Вуаля, все как на ладони
4. Вспоминаю про Яндекс.Почту и ее новый интерфейс НЕО.
5. Код страницы уже не такой читабельный, но принцип его работы схожий. Я нахожу заготовку, меняю тип поля, применяю…
6. -Фиаско, фиаско!- кричал пьяный попугай.
Что там говорил тов.kukutz:
А интерфейсом НЕО пользуются оставшиеся 99%?
UPD Яндекс проблему устранил.
Мне снова есть, что рассказать. Наверное, Вы помните мои предыдущие топики (1,2) на тему хранения\передачи паролей в открытом виде? Найденные мною прорехи были спешно залатаны, но правильных выводов никто так и не сделал (из технического персонала компаний). Поэтому Вы и читаете этот топик.
Как я и обещал, я решил проверить еще какой-нибудь популярный почтовый сервер услугой сборщика почты. Выбор пал mail.qip.ru. Почему? Да потому, что это достаточно старая и известная многим Почта.ru, но под другой вывеской.
1. Хм. Всплывающее окошко на AJAX отпугнет почти любого диллетанта. Но не меня =)
2. Почти без надежды смотрю в исходный код и вдруг обнаруживаю там заготовку для вплывающего окошка на слоях, заботливо помеченную авторами кода. Меня тип поля для ввода пароля, а волшебный браузер Опера помогает применить результат к прямо активной странице
3. Вуаля, все как на ладони
4. Вспоминаю про Яндекс.Почту и ее новый интерфейс НЕО.
5. Код страницы уже не такой читабельный, но принцип его работы схожий. Я нахожу заготовку, меняю тип поля, применяю…
6. -Фиаско, фиаско!- кричал пьяный попугай.
Что там говорил тов.kukutz:
Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:
А интерфейсом НЕО пользуются оставшиеся 99%?
UPD Яндекс проблему устранил.