Pull to refresh

Comments 63

Я и впрямь стал задумываться о переезде с mail.ru.
Однако лучше поздно, чем никогда.
Не прошло и полугода и вот она — новая уязвимость.
shadowjack конечно mail.ru оповестили об этом.
Судя по блоку «Похожие посты» справа, не прошло и месяца. 8)
я образно сказал. не хотел расстраивать программистов с майла
Месячные у мэйлрушечки.
У меня вопрос возник: у меня есть почта тут www.google.com/a/dezcom.org. Почтовый адрес записывается как *****@dezcom.org. Значит ли это что моя почта *****@yandex.ru расположена тоже на серверах гугл?
Может они всю почту там хостят, а на mail.ru просто обертка, местами кривая? bk.ru и list.ru тоже есть.
Ну с другой стороны можно сказать спасибо mail.ru, за то что они допускают такие баги и кто-то их находит и «выводит на чистую воду». Теперь хоть многие вебмастеры и прочие программисты не будут делать подобных косяков в своих проектах! :)
Поэтому вообще стараюсь не использовать web-интерфейсы. Всё через почтовые клиенты
Вообще есть такой софт, называется IBM AppScan, его натравливают на сайт и он выдает всякого рода уязвимости. К сожалению, он отнюдь не open source и стоит по-моему 34 000 USD за лицензию. У нас на работе используется, выдает очень подробный отчет с осмысленным текстом, как именно проводился «взлом», какого рода уязвимость и т.д. К сожалению, наш нельзя натравить на чужой сайт, а то я бы свои попробовал прогнать.
Что-то мне подсказывает, что для такой компании, как Mail.ru, купить программку за жалких (для ее уровня дохода) 34к уе — это как бе не проблема. Другое дело, лично я сомневаюсь в пользе от данной «утилиты» для проекта Mail.ru и всех его сервисов.
Тестеры обычно пишут свои наборы тестов, скрипты и т.д.
Тут такое чувство, что новую почту mail.ru выкатили в продакшн без тестирования.
в последнее время я часто замечаю, что всё тестирование происходит в продакшнах, на живых клиентах и настоящими деньгами
Наверное в этом есть какой-то смысл, пока оттестируешь — аудитория может уйти на другой сервис, а если сервис актуальный, то пользователи простят ошибки (при условии если своевременно, по мере развития продукта, ошибки исправлять).
UFO just landed and posted this here
аник хороший, но не совсем понятно к чему он тут?
Не бывший ли XSpider это случаем?
Это отдельный продукт. XSpider всё ещё поддерживается (недавно вышла новая версия с новым интерфейсом), но парол лучше (и дороже)
«Service Temporarily Unavailable» при попытке скачивания продукта за 34 000 USD — это печалька(
Прощу прощения за, возможно, несерьезный тон моего коммента, но блин я фигею с этиъ мейлрушечек!!!11 Еще одна уязвимость, не прошло и месяца. А они еще борятся за звание дома выской культуры быта! А они в это время, блин, пилят аську и пиарят свой агент.
На mail.ru нельзя выделять даже письма нормально. Сиди и щелкай по чекбоксам.
>>Эта винда со своими скучными обоями, меняешь их меняешь…
можно настроить сбор почты на тот же gmail и юзать short-key
У меня основная почта на yandex.ru, которая и собирает со всех других ящиков письма :)
А нормально — это как?
Не из праздного любопытства интересуюсь :)
Вы наверно знаете, как в проводнике windows можно выделять файлы с помощью зажатия левой кнопки мыши? Вот хотелось бы так-же.
Нда. А поставить position: relative для блока с письмом, видимо, было никак.
Только на position:absolute, а overflow:hidden. Это бы помогло от данного вида проблемы, наверное.
Да, overflow тоже нужен.
Position: relative надо чтобы у любых блоков внутри position:absolute отсчитывалось от текущего блока, а не от окна;
А overflow:hidden нужен, чтобы отрицательные координаты не могли вылезти наружу.
А ещё бывает position: fixed, от которого никакое relative и overflow не поможет. 8)
mail.ru – было есть и будет ещё долго решето с дырками такого размера, что подходит для отсеивания футбольных мячей от баскетбольных. Невзирая на присутсвие на Хабре инженеров по безопасности mail.ru, которые недавно горячо убеждали хабраобщественность, что работа над улучшением и углублением кипит. Самое смешное, что судя по количеству плюсов, за тот комментарий, писать пламенные речи пока получается гораздо лучше, чем работать над безопасностью.
Первый раз починили вылезание сверху и слева. Теперь зачинили справа и снизу. Можете повторить проблему?
Проблема описана в посте.
Вам пример кода дать? 8)
Пример кода из поста теперь выглядит так image
Прекрасно, но ведь бывает ещё position: fixed (это, кстати, обсуждается двумя ветками комментариев выше).

Берём такой код:

<div class="alertFade" style="top: 0; left: 0; width: 100%; height: 100%; background-color: pink; z-index: 65535; opacity: 1;">
<div style="padding-top: 100px;"><h1>Привет, мейлрушники! 8)</h1></div>
</div>

Видим старое доброе:



Т.о. проблема использования существующего класса с нежелательными свойствами осталась.
С классами будем разбираться, но в ночь с воскресенья на понедельник этого лучше не делать.
Ну, можно запилить alertFade и сделать inline-овое позиционирование там, где оно нужно.
Или сделать название этого класса рандомным.
Да уж, были совсем другие планы на вечер twitter.com/#!/AndrewSumin/status/125621656117985280
Да. И проблема после починки больше не повторяется. Если у вас она все равно повторяется, то, пожалуйста, сообщите.

P.S.

Еще раз спасибо, что нашли баг!
меня больше парит, что письма в папке спам остаются отмеченные, как не прочитанные. И соответственного «горят» в количестве непрочитанных писем. Ну и какое-то загадочное сообщение в агенте, которое «горит» в интерфейсе и нереально доставляет. Письмо невозможно ни удалить ни прочитать.
Эх, как было бы прекрасно, если б каждый, кто находит проблему, сначала сообщал бы о ней в соответствующую компанию, а потом уже писал пост на Хабре…
Было бы прекрасно, если бы баг-репортеры получали что-нибудь за свои репорты. 8)
Вы получаете более качественный продукт :)

Делая же обзоры любых уязвимостей до их исправления, вы повышаете вероятность попадания других пользователей в нехорошую ситуацию.

Для нашей команды очень важна обратная связь. Сейчас много что меняется, многое улучшается, многое переписывается с нуля. Во время этого перерождения очень сложно не ошибиться, учитывая масштабы проекта и его возраст со всеми вытекающими из этого последствиями. И, как бы это банально не звучало, мы очень стараемся и прикладываем все возможные усилия для улучшения качества наших сайтов.

Надеюсь, что наши старания будут вознаграждены отзывами довольных пользователей, баг-репортами не очень довольных и конструктивной критикой совсем недовольных :)
Я получаю более качественный продукт используя Gmail. 8)
Бесполезно в MAIL-RU о каких-то проблемах сообщать — как об стенку горох.

Сколько раз их просил, чтоб они сделали наконец-таки возможность входа в веб-интерфейс по HTTPS, что-то типа mail.ru а, воз и ныне там.
<form method="post" action="https://auth.mail.ru/cgi-bin/auth" name="Auth"… >

Хм-м?..
Вы хотите безопасную авторизацию или же чтобы абсолютно всё работало по https?
Мы хотим достойную, не глючную, защищенную почту! Даёшь интернет ,.ля...?
Sign up to leave a comment.

Articles