Comments 52
чОрт, и где вы берете такие ацкие пароли?
Ну хорошо, а что это там дает? Да, можно увидеть пароль, который вводит пользователь при вас… Не такая уж это большая уязвимость… Не вводите пароль при чужих людях, и всего делов. Или я чего-то не понимаю?
В общем-то это проблема наследственная. В Оконных интерфейсах традиционно за звёздочками/кружочками «стояли» символы паролей, собственно на это и рассчитаны большинство програм-показывалок сохраннёных паролей. Я пользовался такими что-бы вспомнить пароли оутглюк-экспресса.
Тут концептуальная уязвимость воспроизведена в инете, что делает её применимее.
Может надо поступать в традициях консольных программ — ввод пароля никак себя не проявляет.
Только учесть при правке учётки — что если пароль пуст — значит остаётся старый пароль.
Тут концептуальная уязвимость воспроизведена в инете, что делает её применимее.
Может надо поступать в традициях консольных программ — ввод пароля никак себя не проявляет.
Только учесть при правке учётки — что если пароль пуст — значит остаётся старый пароль.
Одно дело локальное приложение, другое — сетевое!
Золотое правило безопасности в сети — пароли назад выдаче не подлежат, ни в каком виде.
Золотое правило безопасности в сети — пароли назад выдаче не подлежат, ни в каком виде.
я работаю в небольшом ISP поверьте примерно 5% юзеров не в состоянии вообще ввести пароль.
15% в состоянии, но если нажат капс или не та расскладка, то ппц паника возникает. О каком «ввод пароля никак себя не проявляет» вы говорите? Яндекс почта для народа, а народ застрелится от такой хренатени.
15% в состоянии, но если нажат капс или не та расскладка, то ппц паника возникает. О каком «ввод пароля никак себя не проявляет» вы говорите? Яндекс почта для народа, а народ застрелится от такой хренатени.
Как я писал раньше можно было получить пароль используя xss, посмотрю насколько тут реально.
Ждём топик про Рамблер.
Теперь я понимаю почему Опера настолько популярна только в СНГ…
За бугром мало кому придет в голову менять в каком-нибудь там «ВКон***те» дату рождения на 777 и искать такие детские уязвимости.
За бугром мало кому придет в голову менять в каком-нибудь там «ВКон***те» дату рождения на 777 и искать такие детские уязвимости.
Всё это, конечно, здорово. А тех, кто пользуются почтовыми клиентами типа Outlook Express, The Bat!, Thunderbird и т.д., не пугает тот факт, что их пароли к серверу при сборе почты также ходят в открытом виде?
У того же mail.ru в help'е написано: "Убедитесь, что опция Use encrypted login method (APOP) не включена."
У того же mail.ru в help'е написано: "Убедитесь, что опция Use encrypted login method (APOP) не включена."
они обычно не думают о безопастности, да и кому понадобится взламывать их акки?)
А вы считаете, что пароли ходят в открытом виде из-за лени создателей почтовых клиентов? А может всё таки виноваты устаревшие протоколы SMTP/POP3/IMAP4?
Не надо гнать на Птицу! Нормальные юзеры пользуют сервисы с SSL, так что пароли ниразу не светятся!
P.S. Прекрасно понимаю, что все перечисленные почты к таким не относятся… :-)
P.S. Прекрасно понимаю, что все перечисленные почты к таким не относятся… :-)
А можно разом весь список проблемных сайтов? А то по топику на сайт — многовато как-то :-)
А реально многие пользуются сборщиками? Если ящик позволяет форвардить, имхо, настроить форвард проще и безопаснее. Конечно, я не спорю, что указанную проблему следует исправить, но, по-моему, вся идея сборщиков почты — это костыль для странных ящиков с отсутствием форварда. Это ж polling, а polling, как известно, kills.
А реально многие пользуются сборщиками? Если ящик позволяет форвардить, имхо, настроить форвард проще и безопаснее. Конечно, я не спорю, что указанную проблему следует исправить, но, по-моему, вся идея сборщиков почты — это костыль для странных ящиков с отсутствием форварда. Это ж polling, а polling, как известно, kills.
Уязвимость эта всё же больше для эпатажа, хотя конечно и имеет место.
Как уже ранее писалось в предыдущих топиках, необходимо соблюдение ряда условий, что бы её использовать в реальной жизни.
Как уже ранее писалось в предыдущих топиках, необходимо соблюдение ряда условий, что бы её использовать в реальной жизни.
Проблема на Яндекс.Почте устранена. И в modern-интерфейсе тоже, если что.
Ха! Так их, по ходу там совсем бестолковые братюни в Яндексе работали :)
Одного не могу понять: откуда сервисы знают пароли? Все же декларируют, что хранят исключительно хеши…
Не совсем понимаю, откуда такая паника? Когда вы принимаете почту в вашем любимом Email клиенте, каждый раз POP пароль улетает в сеть. А если вы оставляете любимый The Bat активным и свернутым, как большинство менеджеров, POP пароль улетает в сеть раз в пять минут. Но, почему-то никто не называет это уязвимостью протокола POP3. Если подумать, с FTP тоже самое. А еще с ICQ и YYY протоколом. А то, что все админки защищены .htaccess с типом авторизации Basic не катастрофа?
Даже если присланная страница вместе с паролем остается в кеше браузера, я не вижу тут ничего криминального. Ведь другой пользователь компьютера не должен иметь доступ в профиль вашего браузера.
Даже если присланная страница вместе с паролем остается в кеше браузера, я не вижу тут ничего криминального. Ведь другой пользователь компьютера не должен иметь доступ в профиль вашего браузера.
Sign up to leave a comment.
Ограбление по-дилетантски-3 или те же яйца, только в профиль