Как мы реализовали HTTPS на главной странице портала Mail.Ru



    Парадоксально: HTTPS существует уже много лет, но за все эти годы не стал стандартом по умолчанию для всех интернет-ресурсов, работающих с критичными с точки зрения безопасности данными. В прошлом году мы первыми среди крупных российских порталов включили HTTPS на главной странице.

    Теперь шифрование работает с первых шагов пользователя на портале Mail.Ru, а также включено всегда и по умолчанию. На наш взгляд, это просто must-have, ведь именно на главной странице находится форма ввода логина и пароля от почты. Хотя передача пользовательских данных при авторизации уже много лет происходит по HTTPS, но если главная страница загружается по HTTP, то на этапе ввода данных есть возможность перехватить их в ходе атаки SSLstrip, которая довольно популярна среди киберпреступников. Напомню, в чем её суть, взяв для примера несуществующий сайт example.com:

    • Допустим, пользователь заходит в интернет через публичный Wi-Fi и пишет в браузере example.com;
    • Запрос уходит на серверы example.com, на которых формируется ответ. Он содержит в том числе ссылку на URL, где происходит авторизация (https://auth.example.com);
    • Злоумышленник перехватывает ответ и меняет этот URL на любой другой (https://some-fraudlent-server.com). Без HTTPS хакер может не только «слушать» трафик, но и посылать клиенту поддельные данные от имени сервера;
    • Злоумышленник передает поддельную страницу в браузер пользователя, который её отображает. Она выглядит абсолютно так же, как обычная страница;
    • Ничего не подозревающий пользователь вводит там свои логин и пароль, затем нажимает «Войти»;
    • Браузер переводит пользователя на действие формы авторизации. Если бы не действия злоумышленника, он бы перевёл его на httрs://auth.example.com, но из-за того что произошла подмена URL, браузер переведёт его на свою страницу httр://some-fraudlent-server.com, отослав туда логин и пароль пользователя.


    Сейчас, даже если пользователь окажется очень изобретательным (например, он сохранил в закладках http-адрес страницы – httр://mail.ru/ и попытается зайти на главную страницу по этой ссылке), а злоумышленник – очень настойчивым, – так вот, даже в этом случае данные пользователя будут защищены благодаря технологии Strict Transport Security. Это механизм, активирующий форсированное защищённое соединение через HTTPS. Он поддерживается большинством современных браузеров. Вот почему для нас было так важно реализовать HTTPS на главной странице.

    Таким образом, переход на HTTPS защищает, во-первых, от прослушивания трафика и, во-вторых, от того, что код страницы может модифицировать MiTM. Им может оказаться как злоумышленник, так и, например, провайдер публичного Wi-Fi, который хочет показывать пользователю собственную баннерную рекламу. Такие баннеры могут перекрывать часть полезного контента, например, элементы навигации, — разумеется, это не всегда нравится пользователям. Кстати, теоретически провайдер с тем же успехом может внедрять и вредоносный контент, перехватывая пользовательские данные.

    А теперь о том, как мы внедряли HTTPS на главной странице одного из самых крупных и посещаемых порталов рунета и с какими сложностями нам пришлось столкнуться.

    Перевод контента на HTTPS


    Первым делом нужно было перевести на https весь отображаемый на главной странице контент. Большую часть информации мы получаем от других сервисов Mail.Ru (Новости, Погода и так далее). Некоторые из них еще не перешли на HTTPS. Но контент, а именно картинки, забираемые с других сервисов, физически перекладываются на наши сервера, поэтому проблемы с тем, чтобы получать их по HTTPS, или с возможным ростом нагрузки на эти сервисы не возникло.

    Сложнее было с общей баннерной системой, которая работает на портале Mail.Ru, так как в ней присутствует и внешний контент от партнёров. Это пиксели (прозрачные картинки размером 1х1 пиксель), которые дергаются для подсчёта статистики, когда демонстрируется баннер партнера. Еще когда мы внедряли HTTPS на Почте, мы сделали две вещи: во-первых, договорились с партнерами, чтобы они также перешли на HTTPS и, во-вторых, сделали так, чтобы показ баннеров с небезопасным контентом был технически запрещен на стороне нашей баннерной системы. Переводя на HTTPS главную страницу, мы использовали эти решения.

    Еще один пример партнерского контента – это аудиторные счетчики. Если вы будете переходить на HTTPS, рекомендуем обязательно проверить весь такой контент на совместимость с безопасным протоколом.

    Перед включением HTTPS на живых пользователей мы принудительно перевели на него сотрудников Mail.Ru Group. Это не могло дать какой-либо заметной нагрузки, но зато позволило ещё раз убедиться в том, что весь контент страницы загружается по безопасному протоколу.

    Включение HTTPS на живых


    Главная проблема, к которой мы готовились: переход на HTTPS существенно повышает нагрузку на сервера. Помимо этого, он увеличивает общее время загрузки страницы за счёт увеличения времени соединения с сервером и времени на загрузку скриптов и статики. Таким образом, главные задачи, которые мы решали, — это, во-первых, постараться запуститься на текущем количестве «железа» и, во-вторых, по минимуму просесть в скорости загрузки страницы.

    Мы решили сделать проверку боем и включили HTTPS для части пользователей, померив, насколько вырастет нагрузка на железо. В течение нескольких дней мы постепенно увеличивали долю HTTPS и следили за графиками – CPU на сервере, временем загрузки страницы по блокам и аудиторными показателями (хитами и переходами на проекты с главной). Тут нужно заметить, что для главной страницы мы считаем необходимым держать многократный запас по нагрузке. Однако тестовый запуск показал, что этого запаса не будет при запуске HTTPS на 100% пользователей. И тогда настало время для оптимизации.

    Во-первых, мы включили keep-alive, благодаря которому на установку повторного соединения с сервером не требуется времени. Поскольку главная страница Mail.Ru обращается к серверу за обновлениями информации по текущему пользователю раз в минуту, мы используем установленное соединение для ее обновления. Благодаря этому keep-alive позволил снизить количество устанавливаемых соединений. Как следствие, снизилась нагрузка и примерно на 30% уменьшилось среднее время ожидания ответа от сервера.

    Во-вторых, мы сократили на треть количество запросов за обновлением пользовательских данных. Главная страница делает порядка 900 тысяч таких запросов в минуту. Однако в случае если пользователь был и остался неавторизован, то ровным счетом ничего нового мы не узнаем, сколько сервер ни пытай (это сродни тому, чтобы заглядывать в холодильник каждые пару минут, проверяя, не появилось ли там чего-то новенького). В результате мы стали обращаться за обновлениями пользовательских данных только тогда, когда предполагаем, что эти данные могли обновиться – когда пользователь авторизован или авторизация изменилась. Эти изменения позволили снизить нагрузку до приемлемого уровня и включить HTTPS на всех пользователей, обойдясь без добавления дополнительных серверов.

    При включении HTTPS «на всех» мы следили за изменением аудиторных показателей, поскольку оно могло указать на какие-то проблемы с загрузкой страницы в нестандартных браузерах или ОС, если бы пользователи столкнулись с ними.

    Был интересный момент: мы заметили рост количества показов мобильной версии главной страницы сразу после включения HTTPS. Этот рост, конечно, вызвал опасения. Оказалось, что при HTTPS происходит полная перезагрузка страницы, если пользователь возвращается на неё, нажав back в браузере. А пользователи возвращаются на главную таким образом часто – ссылки с мобильной версии главной открываются в том же окне, в отличие от большой версии. При HTTP страница в мобильных браузерах часто показывается из кеша (поведение зависит от OS и браузера). Поэтому количество засчитанных показов главной и выросло. Чтобы проверить эту гипотезу, мы построили график перезагрузок страниц по кнопке back (для некоторых браузеров), и он её подтвердил.

    Итак, мы успешно перевели главную страницу нашего портала. Кроме того, мы внедрили HTTPS на наших контентных проектах, где хранится не так много пользовательских данных по сравнению, например, с Почтой, но присутствует форма авторизации. Сейчас безопасный протокол включен на Новостях, Авто, Cars, Hi-Tech, Погоде, Здоровье и Детях Mail.Ru, и в дальнейшем этот список продолжит расширяться (в одном из следующих постов расскажем, как их переход на HTTPS влияет на трафик с поисковых машин).

    Мы надеемся, что наш пример вдохновит коллег, и за HTTPS постепенно окажутся все главные страницы более или менее крупных ресурсов. Защитим данные пользователей от SSLstrip-атак!
    Mail.ru Group
    Building the Internet

    Similar posts

    Comments 133

      +17
      мы включили keep-alive

      Почему Вы его включили только сейчас? Это один из из базовых принципов уменьшения времени загрузки тяжелых страниц.
        –4
        Большой нужды не было. Установка соединения не была узким местом. А с приходом SSL место стало значительно уже. Handshake требует гораздо больше времени, потому надо было приблизить скорость загрузки к предыдущим значениям.
          +6
          Т.е. трудозатраты ранее были меньше профита.
            –2
            Конечно же, больше профита :)
              +30
              Продолжай, не останавливайся!
                –3
                Конечно! Пока не придумал, чем продолжить :)
                  +16
                  «Конечно же, не профита, а ВИГОДЫ!», например? ;)
          +18
          Потому что нашу главную страницу обрабатывает наш собственный асинхронный сервер, написанный тогда, когда nginx'а еще даже в проекте не было, а keep alive еще только только начинал поддерживаться браузерами.
            +7
            Как вы изящно завуалировали фразы «потому что так склалось» и «мы использовали свой велосипед, а он keep-alive не умел» =)
              +10
              Свой велосипед был изобретен до появление общего велосипеда. И с тех пор оброс большим количеством проприетарного функционала, кип-элайв среди которого до последнего времени не являлся критически необходимым. Если вы не работали в интернет-компании, обслуживающей десятки миллионов юзеров в сутки, то мне трудно вам объяснить, что это вполне нормальная практика.
                +7
                А я вас и не обвиняю, я тоже не безгрешен.
                Формулировка понравилась.
                  +1
                  Ok :) Но я, правда, не пытался оправдываться. Просто рассказал как оно на самом деле. Писать, что все с самого начала было продумано, — это звучало бы странно. Если бы человечество все бы придумало с самого начала, то тогда не было бы смысла жить :)
        • UFO just landed and posted this here
            +15
            Я, как человек, запускавший HTTPS много раз и много где, ответственно скажу, что запустить его на высоконагруженном сервисе — это супернепростая задача. Тот же Яндекс не может все еще запустить его на главной странице тоже неспроста.
              –1
              А что именно непростого? Описанное в статье вроде не сильно сложно.
                +7
                Очень много мелочей. Все должно работать под большой нагрузкой, без дополнительного железа, и очень быстро. И не должно появляются страниц с «желтым замочком https» — это когда на страницу пролезает небезопасный контент. Надо на все графики, мониторинги, надо разбираться даже с проблемой у 0.1% пользователей. В общем, как обычно, дьявол в деталях.
                  +3
                  Проблема с включением в страницу внешних ресурсов, которые отдаются не по https, ясна.

                  А кроме этого есть какие-то сложности? По нагрузкам какие конкретно проблемы?

                  Как-то общо всё слишком.
                    0
                    Ну особых-то проблем и нет. Поддержали keep alive и все стало быстро. Просто, еще раз, много-много мелочей. Надо все учесть. Если для вас все это выглядит просто, и вы умеете раскалывать миллион мелочей быстро и четко, умеете договариваться с 10ью отделами, организовывать быстро выкатки, мотивировать людей на генерацию технических идей, то приходите работать к нам менеджером проектов за большие деньги :)
                      +6
                      Если для вас все это выглядит просто

                      Без детализации проблематики для меня это действительно выглядит просто.

                      и вы умеете раскалывать миллион мелочей быстро и четко

                      В топике описана лишь пара мелочей. Две мелочи можно расколоть быстро и просто. (Ну поддержка keep alive в самописном сервере это не совсем прям просто, допустим).

                      умеете договариваться с 10ью отделами, организовывать быстро выкатки, мотивировать людей на генерацию технических идей

                      Административная часть проблемы меня волнует меньше всего. Я технической реализацией интересуюсь =).

                      то приходите работать к нам менеджером проектов

                      Спасибо, но административная работа ну ваще не интересна =).
                        +1
                        Посмотрите в вершину треда — я начал объяснять, что это не просто в контексте ответа на сообщение, где между строк читалось «it's about fucking time». С технической точки зрения еще интересной задачей было заточить баннерную систему под SSL. В этой статье мы упомянули про эти лишь вскользь, но в нашей статье 2ух летней давности про SSL на Почте чуть больше деталей: habrahabr.ru/company/mailru/blog/158603/. Но, в целом, соглашусь с вами, — это с технической точки зрения не нечто неподьемное. Просто надо аккуратно сделать много вещей. Аккуратно за всем проследить. Это, знаете, если бывали за границей (в западных странах), то, наверное, удивлялись двум вещам: а) как у них все чисто и удобно б) в этом же ничего сложного, почему у нас не так?! :)
                          0
                          Денис, (привет!) а со SPDY не баловались? Есть смысл?
                            0
                            Женя, привет! Давно не виделись :)
                            Пока не баловались, но очень хотим и планируем. Смысл однозначно есть, потому что этот протокол лечит многие родовые травмы http.
                              0
                              Кстати, вопрос ко всем: есть ли какая-либо небольшая простая библиотека для работы с spdy в открытом доступе (С)?
                                0
                                Вы про реализацию серверной части? В принципе, можете nginx попробовать: nginx.org/ru/docs/http/ngx_http_spdy_module.html или mod_spdy для апача: code.google.com/p/mod-spdy/
                                  0
                                  Скорее про клиентскую. Есть задумка просто для разминки написать свой lynx с б&ш, думал добавить spdy.
                            0
                            Спасибо за ссылку, там действительно поинтересней.
                    +2
                    То то Гугл только в прошлом году стал активно переводить свои сервисы на HTTPS.

                    На работе до не давнего времени стоял сквид (с LDAP-ом), который после некоторого лимита резал весь HTTP-трафик.
                    Спасался https-ом.
                    Сквид его толком готовить не умеет.
                    Если при загрузке страницы требовалось получить что-нибудь по http-протоколу, вылезало окно авторизации.
                    В общем, без дополнения Request Policy, врагов колоть жмякать на «Отмену» рука уставала.
                    +1
                    Тот же самый Яндекс открывается по https и перевел львиную долю своих проектов на https, зачем же вы так.
                      +1
                      Просветите, как он открывается по https? joxi.ru/vAWYgvZUgQZ3mW
                        0
                          0
                          Откопали таки https у Яндекса. И как оно защитит те миллионы пользователей, которые ходят на www.yandex.ru?
                            –4
                            1. Пользователь видит что Яндекс не использует https.
                            2. Пользователь огорчается и продолжает пользоваться Google.
                            3. ???
                            4. PROFIT Пользователь защищён.

                            Остаётся лишь надеяться что в ближайшем будущем Яндекс станет доступен по https по умолчанию.
                          +9
                          Вот так, наверное.



                          Честно, вторую ссылку я не подрисовывал, это все Матрикснет. :)
                            +4
                            Поиск открывается по https. Но главная страница открывается по http. В этом есть уязвимость — злоумышленник может подменить сайт и ссылку на авторизацию, и вы введете пароль, думая, что в Яндекса, но на самом деле не в Яндекс.

                            Кликните вторую ссылку. Там у человека вообще не работает https нигде, в тч в Google, из-за Касперского.
                              +3
                              Ну, Дэн, конечно, нет. Ты ж не Анна Артамонова, знаешь, что к чему. Мало того, что у нас в Паспорт hsts, так он еше и прелоадед в хроме и файрфоксе, и EV сертификат. Это уже давно так.
                                +1
                                я правильно поняла, что у вас закончились аргументы и вы решили перейти на личности? какой ответ на вопрос — почему вы до сих пор не осилили запустить https на главной? я не услышала, сорри…
                                  +4
                                  Анна, аргументы о чем? О том, что Ден забыл, что в Паспорте был https еще когда он в Яндексе работал?
                                    +2
                                    Владимир, насколько я поняла из описания атаки SSLstrip (в самом начале публикации), это вас не спасает в случае авторизации пользователя с главной страницы.
                                    И по-прежнему интересно услышать от вас ответ на вопрос: почему в вас нет https по умолчанию на главной? Вы считаете в этом нет необходимости? Или не можете справиться технически?
                                    И последнее, не очень поняла, зачем вы попытались меня обидеть в вашем первом комментарии, но, пожалуйста, не надо этого делать. Во-первых, иногда мне правда обидно, а во-вторых, я сразу узнаю вас в одном из анонимусов на роем.ру ;)
                                      +3
                                      ok, Анна, во-первых, я приношу свои самые искренние извинения, если вас обидел. Совсем не хотел. Правда, мне показалось, не я первый ступил на тропу троллинга.

                                      Во-вторых, обещаю, что по вашей просьбе я обязательно убежусь, что бы https на главной появился как можно скорее.

                                      В-третьих, сообщаю, что hsts работает только после первого редиректа на https, поэтому злоумышленник все так же легко может перехватывать данные пользователей mail.ru, не имеющих hsts флага. В Яндексе preloaded hsts сделан год назад (вот, например, коммит для chromium). Для этого не нужен sslstip (с которым, поверьте, я знаком не из описания статьи, а по опыту), а наколенный скрипт.

                                      Так же хочу заметить, что на роем я никогда не писал, эти ваши междусобойчики мне непонятны.

                                      Еще раз извините за невольную обиду.
                                        +8
                                        Володя, чтобы было понятно, в яндексе пароли сейчас ровно также не защищены, как если бы паспорт был не httpsным. Рассказываю сценарий:

                                        1. Ты заходишь на www.yandex.ru
                                        2. Злоумышленник подменяет www.yandex.ru своим сайтом, который looks and feels exactly как Яндекс, за исключением одной маленькой детали — введенный пароль отправляется на сервер злоумышленника
                                        3. Вводишь, ни о чем не подозревая, свой пароль
                                        4. Теряешь свой пароль

                                        Т.е. еще раз, пользователи Яндекса, которые авторизуются на главной странице Яндекса (а таких, я полагаю, абсолютное большинство), рискуют потерять свои пароли гораздо сильнее, чем пользователи Mail.Ru, которые этим рискуют только при заходе на главную страницу Mail.Ru первый раз в жизни, по причине того, что еще не было первого редиректа на https (по правде говоря, у них и пароля в этот момент еще нет, они ящик даже не зарегистрировали).
                                          +2
                                          Я правильно, понимаю, что пользователи my.mail.ru, который авторизуюся именно там, так же рискуют потерять свои пароли?
                                            +12
                                            Теперь ты понимаешь, насколько важно заsslить весь портал, а не только паспорт и почту? Причем, начинать надо именно с тех мест, где пользователи чаще всего вводят пароли. В нашем случае это морда. В вашем, полагаю, что тоже морда. my.mail.ru в этом смысле тоже уязвим, но, слава богу, что пользователи my.mail.ru вводят пароли непосредственно на этом сайте гораздо реже, чем на морде. И этот сайт сейчас в первом приоритете по переводу на https.
                                              +2
                                              Теперь ты понимаешь, насколько важно заsslить весь портал, а не только паспорт и почту?
                                              По-моему, я тебе про это четыре года назад говорил. :)
                                                +7
                                                И ты был прав :) Делаю теперь в Mail.Ru то, что не успел сделать в Яндексе :)
                                  +4
                                  Владимир, представь, что злоумышленник подменяет www.yandex.ru другим сайтом, который looks and feels exactly как Яндекс, но на котором авторизация ведет к ему, злоумышленнику, в логово. Что будет тогда с твоим паролем? Если хочешь узнать, то приезжай к нам в офис, зайди на главную страницу Яндекса, введи там свой логин и пароль, а мы покажем тебе скриншот твоего почтового ящика :)

                                  Так вот, с главной страницей Mail.Ru такое невозможно, потому что там всегда https и, разумеется, hsts.

                                  P.S.

                                  И не обижай, пожалуйста, Анну. Она отлично знает что к чему.
                      +3
                      Статья получилась какая-то чрезвычайно капитанская и со вкусом ваших местечковых проблем.

                      Через пару лет ждём статью «Как мы реализовали SPDY на главной странице портала Mail.Ru» и рассказ в комментариях о том «что в далёком 2015 он еще только только начинал поддерживаться браузерами.»
                        +6
                        Ну так это и отлично. Мы как раз хотели эту сложную задачу описать очень простыми и кэповскими словами.
                        +5
                        Эта первая и единственная хорошая вещь от Mail.ru…
                            +15
                            Это всё уже давно было у gmail.

                            У меня первый ящик был именно у mail.ru но с течением времени (когда я узнал что интернет большой) я перешел на gmail. лично мне не нравиться в mail.ru следующее:

                            1) Спам который идет со всех щелей
                            2) Долгое время отсутствовал нормальный метод синхронизации (c push уведомлениями)
                            3) Лимиты на место
                            4) Навязывание совершенно не нужных мне сервисов
                            5) Сервера в России
                              +2
                              Вы не правы. Не все. Просмотра архивов в вебе у них нет. Только что переслал zip-архив на гмейловский ящик. Все что я могу с ним сделать — это скачать его или сохранить в драйве. В онлайне смотреть нельзя.

                              И ваша информация про 1,2,3,4 сильно устарела.
                                +2
                                Вы не правы. Не все. Просмотра архивов в вебе у них нет. Только что переслал zip-архив на гмейловский ящик. Все что я могу с ним сделать — это скачать его или сохранить в драйве. В онлайне смотреть нельзя.


                                googleappsupdates.blogspot.ru/2011/07/preview-zip-and-rar-files-from-your.html
                                Только что посмотрел несколько писем с zip архивами — прекрасно смотрится через веб интерфейс на gmail.com. Через inbox.google.com правда не работает, но это другая история.
                                  +3
                                  А вложенные в архивы картинки у вас просматриваются?
                                    –2
                                    Нет, вложенные в архивы картинки у меня не просматриваются ввиду отсутствия таких архивов, возможно, мои адресанты знают о бессмысленности архивации изображений.
                                      0
                                      Вы удивитесь, но в один и тот же архив можно положить и текстовые файлы и картинки. Что совсем не бессмысленно. Но ваши адресаты, наверное, так никогда не делают.
                                        0
                                        Вкладывают скришноты в Word'овские файлы)))
                                        +4
                                        Вы таки путаете сжатие и архивацию.
                                    –3
                                    Ок, вы исправили 1-4 пункты, но в связи с последними событиями — последний пункт наиболее важный — ваши сервера в России, по первому запросу от кого угодно вы будете передавать любые данные, компания Российская.
                                      +11
                                      У нас есть проект myMail/my.com. Это почта + почтовый клиент. Все сервера там в Голландии.

                                      Передавать не по первому запросу от кого угодно, а все в соответствии с законом. Если бы мы хотя бы раз передали что-то кому-то без решения суда или без законных оснований, то про это бы весь Интернет уже гудел.
                                        +1
                                        Когда деревья были большими, а я — школьником, играл я в браузерные деньгокачалки. А они требовали ящика от mail.ru. А поскольку денег у меня не было, я заводил мультов.

                                        Но вопрос не в измерении количества совести у школьников и у разработчиков браузерных игр, а в том, что мои мульты быстро начали слать спам друг другу на почту. Очевидно, неизвестный спамер принял эти аккаунты за аккаунты родственников, и слал сообщения якобы с одного ящика на другой подменяя адрес отправителя.

                                        Теперь вопрос: откуда у спамера была информацию о «родственности» аккаунтов? Это был не вирус, потому что почтовые ящики в других системах такой болезнью не страдали.
                                          +1
                                          А как давно это было?
                                            0
                                            2005й
                                              +1
                                              Ну Ок, давайте мочить mail.ru за огрехи 10 летней давности. Я тут работаю техническим директором 4 года. И за эти 4 года ситуация с количеством спама стала гораздо и гораздо лучше.
                                                0
                                                Я просто отвечаю на вот это высказывание:
                                                Если бы мы хотя бы раз передали что-то кому-то без решения суда или без законных оснований, то про это бы весь Интернет уже гудел.
                                                Этот раз был.
                                                  +3
                                                  Дайте пруф, плиз
                                                    –4
                                                    К сожалению, ящиков тех не сохранилось.
                                            +3
                                            Да, было тоже самое. На свежезареганный ящик с рандомным названием повалил спам. Ящик нигде не светился.
                                              +1
                                              Как давно?
                                                0
                                                Возможно 2008.
                                              +1
                                              Если я правильно понял описанное то мульты mail.ru использовались на определенных деньгокачалках которые этого требовали сами. Так как это были мульты то предполагаю что регистрировались они в деньгокачалках с маленьким промежутком времени, возможно даже в рамках одной сессии а следовательно вас вполне могли «по айпи вычислить» :) ну точнее деньгокачалка могла сохранять айпи адреса с которых проводилась регистрация аккаунтов с указанием email. Ну а больше никаких данных и не надо чтоб сопоставить с некоторой вероятностью родственность e-mailов.
                                                +2
                                                Вы забываете, что браузерные игры, требующие логина mail.ru, так или иначе все принадлежат mail.ru. Иначе бы они не требовали такого логина.
                                                  +1
                                                  Они могут иметь профит ограничивая регистрацию ящиком mail.ru, но принадлежать mail.ru они не обязаны, наподобие установок яндексбара при установке какого-либо ПО. Хотя в целом закон кармы никто не отменял, вы наделали мультов обманув браузерные игрушки, браузерные игрушки обманули вас наслав вам спама, очередной раз убеждаюсь что в мире все взаимосвязано :)
                                                    +1
                                                    И все-таки Жуки@mail.ru и Троецарствие именно mail.ru и принадлежали.

                                                    По поводу же «закона кармы» — я все-таки обманул их больше. Ведь я этими ящиками, на которые шел спам, не пользовался :)
                                              0
                                              попытался зарегиться — говорят, ник должен быть от 6 символов. не зарегился (.
                                                +1
                                                а вам именно меньше 6 надо? :)
                                                  +2
                                                  а почему нельзя меньше шести?
                                                    0
                                                    Чтобы не заваливало спамом потом
                                                      +1
                                                      Какая связь между длиной ника и спамом?
                                                        +4
                                                        Перебирать 5символьные ники в, грубо говоря, 40 раз быстрее чем 6символьные. Чем меньше размер ника, тем более вероятно, что все адреса будут автоматом в базе спамеров. Если было бы 5, то спросили бы почему не 4 и тд. Даже в GMail'е ограничение в 6 символов.
                                                          –2
                                                          Бесят такие ограничения.
                                                          Лучше бы антиспам хороший делали, чем синдром вахтёра вот такой.
                                                            +1
                                                            Ну вы же живете в реальном мире. GMail тоже не может победить до конца спам, и у него ровно такое же ограничение. Когда-нибудь эта проблема будет решена и можно будет регистрировать хоть односимвольные ящики.
                                                0
                                                Изменение пароля
                                                Некорректно заполнены поля:

                                                Новый пароль. Длина пароля должна быть от 6 до 40 символов


                                                Почему 40, а не 41, 42 или 50?

                                                Вообще, почему 40, а не 255?
                                                  0
                                                  Каждый символ в email'е имеет приблизительно 40 вариантов: 26 букв + 10 цифр + еще несколько знаков.
                                                    0
                                                    Допустим. Но как это связано с моим вопросом? Я спрашивал не про логин, а про пароль.
                                                      0
                                                      А, простите, я думал вы еще про 40 раз быстрее :)

                                                      Длина пароля ограничена сверху, потому что чем пароль длинее, тем труднее его запомнить. Соответственно, вы будете его не запоминать, а записывать на бумажку. Бумажку вы либо потеряете (и тогда вам придется его восстанавливать), либо кто-то другой ее у вас найдет. И то и другое плохо. Пароли надо хранить в голове.
                                                        +2
                                                        чем пароль длинее, тем труднее его запомнить

                                                        Что?!

                                                        Предыдущий пароль моей матери к почте: gjcvjnhb^drfrjvrhfcbdjvljvtns;bd\im%zdxthfgjitkpfGbdjv-ghzvjj,jvktk. 67 символов, за 5 лет не был забыт ни разу. Почта — не mail.ru, конечно же.

                                                        Для сравнения, security.mail.ru/#passgen мне сгенерировал пароль oZ0#oFvQ1psA. В нём всего 12 символов, но я вам обещаю: моя мама такой пароль запишет на бумажку.
                                                          –2
                                                          В среднем, труднее. Понятно, что пароль qwerty… (и так 5 раз)… qwerty запоминается достаточно легко.
                                                            +2
                                                            В среднем, 40 символов запоминаются ничуть не лучше, чем 180. Перестаньте уже думать за пользователя и заставлять его быть «средним».
                                                              0
                                                              Приходится думать за пользователя. Это отраслевой стандарт. Даже Гугл думает за пользователя:

                                                              support.google.com/a/answer/33386?hl=ru
                                                                0
                                                                Не нашёл на этой странице ничего про максимальную длину пароля.

                                                                «Тут так заведено» — это не ответ. У отраслевого стандарта должно быть обоснование, или это не отраслевой стандарт. Зачем делать пользователям неудобно? Кто захочет короткий пароль, тот сам его себе сделает.
                                                                  0
                                                                  Сорри, на этой странице они уже не пишут про ограничение. Ограничение 100 символов. Попробуйте, проверьте на регистрации.

                                                                  Обоснование простое: чем длиннее пароль, тем более вероятно его забыть. Я понимаю, что вы, как и любой другой человек, уверены, что никогда пароль не забудете, но, тем не менее пароли забываются, и в некоторых случаях не восстанавливаются никак.
                                                                    0
                                                                    Я предпочёл унести дальнейшее обсуждение на Фейсбук, если хотите — можете поучаствовать :-)
                                      +6
                                      Спасибо за https! Но, пожалуйста, верните все же большие размеры места на cloud, и сделайте, пожалуйста, сделайте на нем webdav. Не всем нужно делать точную копию компа в облаке (и на других устройствах), зато очень полезно было бы иметь место (даже и небыстрое, но — надежное), куда можно сложить старые, не сильно нужные сейчас, занимающие место (тем более в эпоху маленьких SSD дисков и некрупных карточек в телефонах/планшетах), но памятные файлы.

                                      Синхронизация всего со всем — увы, не всегда нужна. Если я наснимал на телефоне видео, слил его в cloud (увы, у вас еще и «суперлимиты» на размер файла есть), а потом забрал с компа дома из облака — это удобно. Но если я потом я на телефоне видео удаляю, а оно назад втягивается — это уже мимо кассы. Если я дома залил в облако фотографии с выпускного (им *дцать лет, но стирать — зачем?, а в «просто» фотоальбом на вебе не положить raw-ы), а потом телефон с ужасом стал их всасывать — тоже не комильфо имеем на выходе.

                                      В общем, сделайте из cloud удобный внешний жесткий диск. А для этого webdav — самое то будет.

                                      Пожалуйста!
                                        +1
                                        Не всем нужно делать точную копию компа в облаке (и на других устройствах)
                                        Синхронизация всего со всем — увы, не всегда нужна

                                        Золотые слова просто! Я даже начал думать, что со мной что-то не так… С моей точки зрения вездесущая синхронизация всего и вся на облачном хранилище — бесполезная фича.
                                        Настройки аккаунта Steam? Да! Вкладки и пароли браузера? Да! Облачное хранилище? Нет конечно! Я отчасти для этого его и завел, чтобы память на девайсе экономить)
                                          +1
                                          Поддерживаю, очень не хватает webdav.
                                            +4
                                            Пользуйтесь Яндекс.Диском. :)
                                              +4
                                              Пользуйтесь. Только пароль на главной странице Яндекса лучше не вводите :)
                                                +2
                                                Еще пара сокращений места в Облаке — и Я.Диск в бесплатной версии станет большим по размеру, чем Cloud@Mail.ru.

                                                Поначалу было интересно: имеешь 120 Гб SSD, к ней еще 1Тб в Облаке — и в него скидываешь все данные. В поездке — очень удобно, тем более хранится этот Тб надежно. Webdav не хватало, но обещали.

                                                Потом места стали давать 100 Тб, т.е. аккурат скопировать SSD-ку. Webdav все ждали, хотя смысла в нем стало бы и поменьше, если бы синхронизатор работал как программка от dropbox — в смысле, надежно и тщательно.

                                                Теперь вроде дают еще меньше.

                                                Жду, что будет дальше. Подозреваю, что сделают по 5Гб на нос, уже тогда включат Webdav, а потом отрапартуют, что им никто особо и не пользуется — мол, чего было возиться, когда «так хотели, так хотели», а по факту — особо и никто.

                                                Про имидж компании говорить не буду. Очередной раз решил, что громким словам «сделаем вам хорошо, и навсегда — вы верьте нам!» верить не всегда стоит.
                                                  +1
                                                  Не станет бесплатный Диск больше нас. Мы не враги сами себе, постоянно мониторим рынок и следим за тем, чтобы наше предложение было самое выгодное.

                                                  Места мы давали сразу 100Гб, когда запустились в бете. 1Тб — это была ограниченная акция на месяц. О чем мы достаточно четко сообщили. Вот, например, тут это хорошо видно: habrastorage.org/getpro/habr/post_images/3c0/c8a/3e4/3c0c8a3e44118110c437341168ea167d.png

                                                  1Тб был, действительно, навсегда. Также как и 100Гб. У вас никто не отнимет ваше место.

                                                  Теперь же, когда мы вышли из беты, мы даем 25Гб всем новым пользователям. Это по прежнему лучше чем у наших конкурентов. Тем же, кто учавствовал в бета-тестировании и помогал нам делать сервис лучше, быстрее, надежнее, мы в благодарность за это оставляем их 100Гб и 1Тб навсегда, как и обещали изначально. Все честно.
                                                    0
                                                    Ну это правда. Только тренд не радует: 25
                                                      0
                                                      Странно было бы, если бы после бетатестирования мы бы давали больше места всем тем, кто в бетатестировании не участвовал.
                                                        0
                                                        Странно, парсер предыдущий коммент у меня съел. Там был символ, который как "«" выглядит («много меньше»): 25 — это много меньше, чем 1000. Сначала сделали 100 (как раз после выхода из теста), потом — 25.

                                                        Но поинт не в этом. Спасибо и на том, ок. Но обещали же webdav — годами (!) обещали, может, все же сделаете. А то про «честность» разговор как-то не складывается )

                                                        А про место — если вы пишете, что 1000 никто не забивает, и даже 100 никто — так вы можете и 10 000 давать, все равно по факту в среднем будет забит 1% от этого размера. Зато кому надо, смогут попробовать, имея webdav и много места, жить с небольшим диском и хранить все документы как файлы на у вас как на диске (а не как бекап документов в облаке). Я говорю именно о другой модели использования, которая, собственно, предполагает другие размеры хранения.
                                                          +1
                                                          Мы конкретные сроки по webdav никогда не называли.

                                                          Еще раз все по порядку

                                                          1. Сначала было 100. Это подарок тем, кто бетатестил нас.
                                                          2. Потом была временная акция на месяц — 1Тб.
                                                          3. Потом вышли из беты и всем новым стали раздавать 25. Меньше чем 100? Да. 100 — это был подарок бетатестерам. Все равно мало, хотели бы, если хоть не 100, то больше 25? Я ваше желание понимаю. Я сам хочу все, сразу и бесплатно :) Но все равно 25 — это больше, чем у конкурентов.

                                                          1Тб, все же, не никто не забивает, а большинство не забивает. Но чем больше размер бесплатного места, тем больше средний размер (проверено нами на опыте с акцией в 1Тб).
                                                            +1
                                                            Да, размер у вас даже сейчас заметный. Вопрос правда в том, что его еще надо умудриться использовать: лимит по размеру файла порой мешает, особенно когда речь идет именно о бекапе к вам каких-то данных.

                                                            Про сроки… много раз слышалось «скоро», и было это года полтора назад. Сколько для вас это скоро — правда, вы не говорили. Скажите прямо: разговор об одном-двух месяцах, или вы «завтраками» планируете кормить почти бесконечно, поскольку обещали, а делать по факту не хотите? Сказать свою точную позицию (скажем «нас не устраивает профиль использования наших хранилищ, поэтому мы будем все сводить к тому, чтобы Облаком было пользоваться не слишком удобно, и юзеры с нами бы предпочитали сильно не завязываться» или «мы очень хотим сделать все „для людей“, но у нас не хватает рук, поэтому пока план такой: webdav для облакаmail.ru сделаем к весне, версионность — к осени, потом подумаем над платными аккаунтами, хоть при этом бесплатные лимиты всегда сохранятся») было бы только честно, а Вы же о честности выше говорили?

                                                            Скажите, а почему все же решили файлы лимитировать 2 Гб? Поймите, что имидж mail.ru как бы намекает, что данные неплохо хоть по минимуму шифровать, а самое простое — это хранить их в криптованной форме, и вот здесь удобнее работать с крупными файлами. А вы, дергая условия, только против имиджа своего же работаете, т.е. льете воду на мельницы тех, кто крипто очень хочет.
                                                              0
                                                              Мы традиционно не раскрываем своих планов и запусков. Как и все наши конкуренты.

                                                              Пока количество пользователй в Облаке только растет, причем большими темпами, поэтому не похоже, чтобы мы работали против себя.

                                                              Насчет имиджа. Нам доверяют свои почту 100 миллионов активных пользователей в месяц. И опять же, их количество только растет. Согласитесь, не лучший ли это показатель, что нам и личные файлы можно доверить? Тем более, что почтовые ящики уже давно превратились в самые настоящие хранилища личных файлов (документов, картинок и проч).
                                                                0
                                                                «То, что я параноик, еще не значит, что за нами никто не наблюдает» :)

                                                                Тем более что разговоров про mail.ru ходит много, так что береженного… сами знаете.

                                                                А что клиенты к вам идут, то это объяснимо. Я никогда не забуду, как мне человек один незнакомый свой телефон диктовал: «пиши, говорит, номер 1310242». Я уточнил, что за номер, то ли городской, то ли мобильный, на что он удивленно ответил — «ну, это же МТС, у всех же МТС, зачем эти 8-911 диктовать?» Вот так и на mail.ru люди ящики заводят («все же на mail.ru»), хотя, вроде как, предыдущее, в прошлом (говорю так, потому что сейчас вы прямо семимильными шагами в будущее век идете — и уже почти пришли, а кое-где и обогнали многих) общение с mail.ru служило источником печали для многих. Но, к вашему спокойствию, ежикам грызть кактус в России вообще как вид спорта можно считать. Особенно в глубинке, где локальные провайдеры такое с почтой творят, что спокойнее ее на mail.ru держать было — и это еще до обновления UI почты!

                                                                Вам я могу только успехов пожелать: сильный игрок на рынке — польза всем, в т.ч. и конкурентам. Но, сказавши «а», говорите и «б», а то про webdav вас (компанию) спрашивают часто, и каждый раз либо вопрос без ответа, либо отписка «работаем, скоро, сроков нет».

                                                                Может, статью написали бы, как кошерно с вашим облаком работать, как вы сценарии видите? А во второй ее части — кратко изложить, в чем ваши затруднения в реализации webdav, только, как Вы выше писали, «честно»?
                                                                  0
                                                                  Спасибо, что оценили! Приятно :)

                                                                  Про вебдав и затруднения, поймите, не можем ничего писать. Мы не можем раскрывать планы.
                                                                    0
                                                                    Понимаю. Просто впечатление, что и планов-то нет, а на вопросы — стандартная «отмазка», чтобы просто не говорить «нет», когда однажды уже сказано «да», и когда вебдав даже уже когда-то работал.

                                                                    А все же — почему вы делаете «облако» в смысле место для синхронизации данных с локальным диском, а не «облачный диск» в смысле места, куда можно по своей воле скопировать часть своих файлов? Это же как второй диск в зеркальном raid-е против второго диска в машине, на который первого можно что-то скопировать, а можно и нет — задачи разные, так вот я ваши подходы хочу понять.

                                                                    Тем более что в облако (если уж про него) надо и не только файловые данные копировать. Скажем, с телефона хочется и контактную книгу в зашифрованном виде скопировать, и нефайловые данные, такие, как настройки.
                                                                      0
                                                                      Вы говорите абсолютно правильные вещи. Мы над всеми над ними думаем. Спасибо за ваш фидбек! :) Просто по разным причинам мы не можем все и сразу сделать моментально. Хотя мы живем, разумеется, в конкурентном мире, и это заставляет нас быть всегда в тонусе, думать быстро и делать тоже быстро :)
                                                      0
                                                      А все же Webdav будет? Без него забить 1Тб достаточно непросто, к тому же с ограничением 2гб для загрузки файлов :)
                                                        +2
                                                        Урезать бесплатное место для новых пользователей это еще куда ни шло, но вот установить максимальный размер файла в 2 гб для всех пользователей — это уже ни в какие ворота не лезет.

                                                        Образа дисков, образа трукрипта и аналогов, большие фильмы — «всем этим пользуются менее 1% наших пользователей, поэтому мы уберем эту возможность».
                                                        0
                                                        восстановил доступ к старой почте, там в облаке всего 25Гб. А еще на эту почту как и у vaslobas спам валил сразу же после регистрации аккаунта.

                                                        Зы, негативное отношение к mail.ru в принципе. В свое время требовал от техподдержки соблюдения EULA (по одной из игр) и был за это забанен.
                                                          +1
                                                          Ну так это же естественно. Вы Облаком не пользовались, когда было бета-тестирование. Т.е. для Облака вы такой же новый пользователь, как и все другие пользователи, которые первый раз пришли в него в этом году.

                                                          Насчет спама сразу после регистрации, можете вспомнить, какой это был год?
                                                            –1
                                                            2007 год
                                                              +3
                                                              Жаль, что более свежего примера нет?
                                                          0
                                                          Кстати раньше было ограничение 30гб на один файл, теперь 2гб.
                                                      +1
                                                      Спасибо что включили https на своей главной, а на Одноклассниках когда включите? Из-за того, что они без поддержки https, счетчик да или виджет от них на защищенную страницу не вставить.

                                                      apiok.ru/wiki/pages/viewpage.action?pageId=42476656
                                                      На данный момент доступен только по http. В планах есть исправления для https.
                                                      Ну так, когда? А то «планам» год уже.
                                                        +5
                                                        Все эти оптимизации (keep-alive, уменьшение запросов на получение пользовательских данных) можно было сделать и для http, к https они не имеют никакого отношения. Поэтому по факту вы не сделали ничего такого, что бы снизило нагрузку на сервер именно для https-протокола. Жаль, что нет какого секретика, позволяющего ускорить обработку https.

                                                        Основываясь на вашем опыте использования огромного парка железа, ориентировочно на сколько процентов возрастает нагрузка на сервер при включении https? Речь идет о самом простом случае — сервер раздачи статического контента.
                                                          +3
                                                          Мы сделали еще несколько оптимизаций, о которых рассказывали в другой статье двухлетней давности, когда включали https на почте. Можете почитать: habrahabr.ru/company/mailru/blog/158603/.

                                                          Если речь про эффективный сервер, отдающий только статику (типа nginx или его самописный аналог), то нагрузка на процессор увеличивается где-то в 1,5 раза. В остальных случаях, как вы сами понимаете, зависит от текущего потребления процессора сервисом. Скажем, если это perl + apache/fastcgi, то увеличение потребления процессора в нашем случае +2-3%. Если это легкий сишный демон, построенный на epoll, то в нашем случае где-то +20-30%. Т.е., грубо говоря, если вы перешли на https, а нагрузка на процессор не выросла вообще, даже на 1%, то это означает, что вам стоит обратить внимание на оптимизацию вашего сервиса.
                                                            +7
                                                            Вашу предыдущую статьи читал в свое время. Очень рад за вас, в правильно направлении идете. Но наделся, что в этой статье вы что-то этакое расскажете. Однако все равно молодцы.

                                                            Спасибо за данные по росту нагрузок. Я долго вдумывался в вашу последнюю фразу и, наконец, понял: если после ввода https рост нагрузки не заметен, то это значит, что ваш сервис настолько сильно тормозит, что нагрузка https — это капля в море.
                                                              +5
                                                              Да, именно так :)
                                                          0
                                                          А что можете рассказать на тему HSTS, ssl session tickets и OCSP stapling? Всё же на техническом ресурсе статью размещаете, хочется больше технических деталей.
                                                            0
                                                            (например, он сохранил в закладках http-адрес страницы – httр://mail.ru/ и попытается зайти на главную страницу по этой ссылке), а злоумышленник – очень настойчивым, – так вот, даже в этом случае данные пользователя будут защищены благодаря технологии Strict Transport Security.
                                                            Простите, но как HSTS поможет защититься от очень настойчивого злоумышленника, если этот злоумышленник в HTTP-ответе на httр://mail.ru/ выкинет HSTS заголовок и оставит пользователя на HTTP? На мой взгляд, httр://mail.ru/ в закладках — это неисправимая проблема безопасности (в автоматическом режиме).
                                                              0
                                                              Первый клик по этой закладке заставляет браузер навсегда запомнить, что на это сайт надо ходить по https. Перехватить первый клик пользователя — это, согласитесь, не то же самое, что перехватить любой клик пользователя.
                                                              0
                                                              Ещё. Нашел ссылку на
                                                              http://my.mail.ru?from=splash
                                                              c главной страницы, на страницу, которая не защищена и содержит форму входа. Хотя HTTPS на той странице поддерживается.
                                                                0
                                                                Не на всем портале еще поддержан https. Но скоро и my.mail.ru за https уберем.
                                                                0
                                                                У меня один вопрос, почему не EV?
                                                                  +1
                                                                  Эта тема заслуживает отдельного поста, но если кратко, то польза EV-сертификатов сильно переоценена: они не улучшают защиту от MiTM-атак, а польза их в защите от фишинга в нашем случае тоже сильно ограничена.
                                                                  Это не означает, что EV-сертификат не нужно покупать, просто это не такой просто вопрос как кажется на первый взгляд.
                                                                  По теме могу порекомендовать вот эту презентацию: www.blackhat.com/presentations/bh-usa-09/ZUSMAN/BHUSA09-Zusman-AttackExtSSL-SLIDES.pdf
                                                                    +2
                                                                    У EV в текущем виде есть одно преимущество — если он будет скомпрометирован и вам придется его отозвать, даже такие браузеры как Chrome не будут принимать отозванный сертификат, в отличие от обычного, который может быть использован атакующим еще долго из-за особенностей работы механизма CRLsets.
                                                                  0
                                                                  Ещё вопрос: были ли какие-то проблемы с совместимостью с клиентами?
                                                                  Может какие-то экзотичные браузеры криво поддерживают что-то?
                                                                    +4
                                                                    Была проблема с IE6. Он требовал устаревшего и дырявого SSL v3.0. Пришлось отказаться от IE6 вообще (всем кто пришел на главную страницу этим браузером мы выводим статическую страничку с предложением загрузить любой другой браузер).
                                                                      0
                                                                      Ура!
                                                                    0
                                                                    Уважемый mail.ru, когда ждать от вас трехколоночного интерфейса с областью просмотра справа, чтобы список писем был виден всегда при чтении сообщений? В Gmail это есть, в Outlook.com, на «Яндексе», почте Yahoo и даже у почты «Рамблера»… В нынешней двухколоночной раскладке приходится совершать лишние клики. Спрашивал об этом в данном блоге полтора года назад — ответа не последовало…

                                                                    Only users with full accounts can post comments. Log in, please.