Ограбление по-дилетантски-3 или те же яйца, только в профиль

    Добрый вечер Хабр!
    Мне снова есть, что рассказать. Наверное, Вы помните мои предыдущие топики (1,2) на тему хранения\передачи паролей в открытом виде? Найденные мною прорехи были спешно залатаны, но правильных выводов никто так и не сделал (из технического персонала компаний). Поэтому Вы и читаете этот топик.



    Как я и обещал, я решил проверить еще какой-нибудь популярный почтовый сервер услугой сборщика почты. Выбор пал mail.qip.ru. Почему? Да потому, что это достаточно старая и известная многим Почта.ru, но под другой вывеской.

    1. Хм. Всплывающее окошко на AJAX отпугнет почти любого диллетанта. Но не меня =)


    2. Почти без надежды смотрю в исходный код и вдруг обнаруживаю там заготовку для вплывающего окошка на слоях, заботливо помеченную авторами кода. Меня тип поля для ввода пароля, а волшебный браузер Опера помогает применить результат к прямо активной странице


    3. Вуаля, все как на ладони


    4. Вспоминаю про Яндекс.Почту и ее новый интерфейс НЕО.


    5. Код страницы уже не такой читабельный, но принцип его работы схожий. Я нахожу заготовку, меняю тип поля, применяю…


    6. -Фиаско, фиаско!- кричал пьяный попугай.


    Что там говорил тов.kukutz:
    Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:

    А интерфейсом НЕО пользуются оставшиеся 99%?

    UPD Яндекс проблему устранил.
    Support the author
    Share post

    Comments 52

      +1
      чОрт, и где вы берете такие ацкие пароли?
        0
        подумал я, учитывая товарищей из «паролей» предыдущих двух серий.
          +5
          Реальные мальчишки и девчонки еще и не такие ставят!
            +1
            Ну про школоту в курсе ;)
            Но вы то, вы! Я ведь правильно понимаю, что все примеры — вымышленные?
            +1
            Что-то в коде не вижу паролей, вижу что браузер вставляет локально запомненный пароль (а его переть и так просто)…
              0
              document.getElemenyById('id-password').value = 'l33t ha><0r';
            +2
            Ну хорошо, а что это там дает? Да, можно увидеть пароль, который вводит пользователь при вас… Не такая уж это большая уязвимость… Не вводите пароль при чужих людях, и всего делов. Или я чего-то не понимаю?
              +5
              Данный пароль «пришел» с сервера вместе с остальной частью страницы. Причем не в https, если я правильно понимаю.
                +3
                Конечно же https нет.
                +4
                Если передача шла не по SSL каналу, то значить пароль прошел в открытым текстом. И как следствие, злоумышленик — юный xakep может перехватить данные пароли.
                +2
                В общем-то это проблема наследственная. В Оконных интерфейсах традиционно за звёздочками/кружочками «стояли» символы паролей, собственно на это и рассчитаны большинство програм-показывалок сохраннёных паролей. Я пользовался такими что-бы вспомнить пароли оутглюк-экспресса.
                Тут концептуальная уязвимость воспроизведена в инете, что делает её применимее.
                Может надо поступать в традициях консольных программ — ввод пароля никак себя не проявляет.

                Только учесть при правке учётки — что если пароль пуст — значит остаётся старый пароль.
                  +8
                  Одно дело локальное приложение, другое — сетевое!

                  Золотое правило безопасности в сети — пароли назад выдаче не подлежат, ни в каком виде.
                    0
                    иначе и быть не может, если хранится не пароль, а хэш
                      0
                      по-хорошему, сервер и знать эти пароли не должен… запоминаем хеш, при вводе делаем тем же образом хеш и сравниваем с запомненным.
                      все сайты, присылающие старый пароль на мейл, вызывают у меня оторопь и недоверие.
                        0
                        опять забыла рефрешнуть перед написанием коммента :\
                          +7
                          Знать пароли для сбора почты сервер должен в открытом виде. С хешем на другой сервер не залогинишься.
                        +7
                        я работаю в небольшом ISP поверьте примерно 5% юзеров не в состоянии вообще ввести пароль.
                        15% в состоянии, но если нажат капс или не та расскладка, то ппц паника возникает. О каком «ввод пароля никак себя не проявляет» вы говорите? Яндекс почта для народа, а народ застрелится от такой хренатени.
                          0
                          подтверждаю.
                          и очень часто путают схожие по написанию знаки:
                          l и 1
                          o и 0
                          e и l (в некоторых шрифтах, если пароль написан курсивом)
                            0
                            Тогда уж пусть браузер запоминает пароли (только надо мастер-пароль сделать)
                        0
                        Как я писал раньше можно было получить пароль используя xss, посмотрю насколько тут реально.
                          0
                          Они меня добивают, на этом яндексе, все проще. Щелкаем пр.кн.мыши и открываем в новой вкладке. Смотрим код страницы. XSS действует так же.
                            +3
                            Не ругайте Яндекс, он хороший, там ребятки — выпускники нашего тракторного училища, они всё прекрасно закроют и откроют новые дырки.
                              +5



                            +3
                            Ждём топик про Рамблер.
                              +6
                              А им еще кто-то пользуется? :)
                                +1
                                На всякий случай держу там аккаунт, только они его зарубают каждые полгода.
                                Просто однажды перестает приходить с него почта, никаких предупреждений не делают. Нельзя к ним хорошо относиться.
                            • UFO just landed and posted this here
                                –19
                                Теперь я понимаю почему Опера настолько популярна только в СНГ…
                                За бугром мало кому придет в голову менять в каком-нибудь там «ВКон***те» дату рождения на 777 и искать такие детские уязвимости.
                                  –13
                                  Забыл поставить тег сарказма, каюсь.
                                    +5
                                    и блог перепутал
                                    +2
                                    Firefox+Firebug гарантирует тоже самое.
                                    А проверять нужно все введение пользователем данные.
                                      0
                                      chrome тоже
                                        0
                                        даже IE8 на это вполне способен
                                        –1
                                        Не о том речь «кто может, а кто нет» и в гробу я видел эти бесконечные холивары. Это был сарказм.
                                        И раз уж пошла такая пляска, то примите к сведению — так может любой браузер из «большой пятерки», даже IE.
                                      +2
                                      Всё это, конечно, здорово. А тех, кто пользуются почтовыми клиентами типа Outlook Express, The Bat!, Thunderbird и т.д., не пугает тот факт, что их пароли к серверу при сборе почты также ходят в открытом виде?

                                      У того же mail.ru в help'е написано: "Убедитесь, что опция Use encrypted login method (APOP) не включена."
                                        –2
                                        они обычно не думают о безопастности, да и кому понадобится взламывать их акки?)
                                          0
                                          А вы считаете, что пароли ходят в открытом виде из-за лени создателей почтовых клиентов? А может всё таки виноваты устаревшие протоколы SMTP/POP3/IMAP4?
                                            +2
                                            Почтовые клиенты как раз умеют работать с шифрованнымм методами аутентификации, обмениваться данными с сервером используя TLS и т.д. Например, с gmail можно забирать почту по POP3 используя подключение по TLS.
                                              0
                                              Угу. И я про то. И многие почтовые клиенты (из перечисленных выше The Bat!, Thunderbird, а в случае с Outlook — не знаю) поддерживают эти протоколы уже давным давно. Дело всего лишь в серверах, использующих устаревшие и небезопасные протоколы.
                                              0
                                              Но у Google же шифруется. Вроде через TSL и SSL шифровать можно.
                                                +2
                                                гугл запрещает пользоваться без SSL/TLS
                                              0
                                              Не надо гнать на Птицу! Нормальные юзеры пользуют сервисы с SSL, так что пароли ниразу не светятся!
                                              P.S. Прекрасно понимаю, что все перечисленные почты к таким не относятся… :-)
                                              0
                                              А можно разом весь список проблемных сайтов? А то по топику на сайт — многовато как-то :-)

                                              А реально многие пользуются сборщиками? Если ящик позволяет форвардить, имхо, настроить форвард проще и безопаснее. Конечно, я не спорю, что указанную проблему следует исправить, но, по-моему, вся идея сборщиков почты — это костыль для странных ящиков с отсутствием форварда. Это ж polling, а polling, как известно, kills.
                                                +1
                                                У многих корпоративных ящиков или у провайдеров может такого не быть.
                                                  +1
                                                  Намного проще ввести все в одном месте, чем лазить по все ящикам и настраивать форвардинг
                                                  –1
                                                  Уязвимость эта всё же больше для эпатажа, хотя конечно и имеет место.
                                                  Как уже ранее писалось в предыдущих топиках, необходимо соблюдение ряда условий, что бы её использовать в реальной жизни.
                                                    +9
                                                    Проблема на Яндекс.Почте устранена. И в modern-интерфейсе тоже, если что.
                                                      –7
                                                      Ха! Так их, по ходу там совсем бестолковые братюни в Яндексе работали :)
                                                        –3
                                                        Одного не могу понять: откуда сервисы знают пароли? Все же декларируют, что хранят исключительно хеши…
                                                        –1
                                                        Не совсем понимаю, откуда такая паника? Когда вы принимаете почту в вашем любимом Email клиенте, каждый раз POP пароль улетает в сеть. А если вы оставляете любимый The Bat активным и свернутым, как большинство менеджеров, POP пароль улетает в сеть раз в пять минут. Но, почему-то никто не называет это уязвимостью протокола POP3. Если подумать, с FTP тоже самое. А еще с ICQ и YYY протоколом. А то, что все админки защищены .htaccess с типом авторизации Basic не катастрофа?

                                                        Даже если присланная страница вместе с паролем остается в кеше браузера, я не вижу тут ничего криминального. Ведь другой пользователь компьютера не должен иметь доступ в профиль вашего браузера.

                                                        Only users with full accounts can post comments. Log in, please.