Зияющая дыра в Mail.ru?

    Прочитал про зияющую дыру в web-почте mail.ru.

    Получается, что если я кликаю на линк в почте, я открываю доступ ко всем моим письмам администратору сайта, на который перехожу?!

    Кто-нибудь может подтвердить или опровергнуть — неужели все так запущено.
    Поделиться публикацией

    Похожие публикации

    Комментарии 76
      +5
      дыра известная — подтверждаю. несколько раз тоже случайно из логов статистики(веб based) попадал в ящик юзера.
        +1
        прочитайте про xss — много интересного узнаете.
        а «дырка» через сессию — это очень жестко…
          0
          Насчёт именно mail.ru не знаю, но встречать в логах подобное доводилось.
            +2
            mail.ru вообще дырявый, пароль при передачи на сервер тоже не шифруеться…
              +3
              О ужас! А хабр-то вообще тогда решето!
                0
                  +1
                  А ведь и правда, пользователи mail.ru будут считать, что безопасно — у них ИЕ почти у всех :)

                  Free Image Hosting at www.ImageShack.us Free Image Hosting at www.ImageShack.us
                    +1
                    Да уж, приобрести нормальный сертификат копейки стоит.
                      –1
                      Что-то порядка 12 000 000 копеек…
                      Дык сказано — же, есть https://secure.mail.ru/
                        +1
                        Если вы посмотрите на адресную строку внимательно, вы увидите, что проблемы с сертификатом именно на указанном вами сайте secure.mail.ru.
                          0
                          Эммм… Простите, действительно, это залет для mail.ru.
                          У меня и в мыслях не было, что такой гигант, который претендует на лавры yandex.ru, может пользоваться самоподписанными сертификатами…
                            +1
                            даже мы себе такого не позволяем
                          0
                          https://www.thawte.com/ssl-digital-certificates/buy-ssl-certificates/

                          SSL Web certificate стоит $249. В каких-нибудь вьетнамских донгах эта сумма может выглядеть внушительно (4 127 175 VND), но вообще, для компании это копейки.
                        +1
                        IE7 тоже предупреждает.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            –10
                            Чувак, да ты крутой.
                            Обсирать ИЕ сейчас модно. Сделай это ещё раз. Покажи всем, какой ты модный чувак. Покажи пацанам, как ты круто опустил ИЕ.
                              0
                              Вас тоже похвалить?
                              Для вас — перевёл на язык троллей с помощью translate.google.com: Суть сообщения — не опускание ИЕ, он ни в чём не виноват, а в особенной «безопасности» безопасного входа в mail.ru.

                                0
                                Простите, а для чего вы его вообще тогда упомянули?
                        +7
                        «Использовать cookie для авторизации

                        Опцию „Использовать cookie для авторизации“ предпочтительно не выключать. Включение этой опции позволяет системе сохранять сессию в данном п/я, при этом не нарушая безопасности этого п/я. Выключение этой опции нарушает безопасность, так как позволяет передавать информацию на чужие сайты. Выключать ее стоит только при „попадании“ в чужой п/я (данная ошибка обычно возникает при неправильно настроенном proxy-сервере).»

                        эта опция у аккаунта похоже была отключена…
                          +2
                          Спасибо, теперь ясно. Значит это не по умолчанию у всех, а только у тех кто принудительно отключил cookie, проигнорировав предупреждение.
                            0
                            Именно.
                              0
                              читайте роем. там подробнее
                            +5
                            Выключать ее стоит только при „попадании“ в чужой п/я
                            супер ))
                          • НЛО прилетело и опубликовало эту надпись здесь
                              –1
                              А еще лучше выключить реферреры. Кажется правильно написал :)
                              Можно или в фаерволе или в настройках браузера.
                                +1
                                ну да, а ещё флеш, яваскрипт и ещё что-нибудь .)
                                а потом сталкиваться с очевидно вытекающими из этого проблемами.
                                Мне кажется, это уже параноя. Лучше просто не пользоваться сайтами с такой кривой авторизацией.
                                  +2
                                  Вы абсолютно правы. Но коль на то уж пошло, почему не использовать почтовую программу? :)
                                    +4
                                    ну лично мне гмейловская вебморда всех милее… доступная из любой точки мира и с любого устройства, вместе с моими метками и «звёздочками».
                                      0
                                      Это уже на любителя, но мне тоже больше она нравиться чем mail.ru :D
                                      Но дыры есть везде.

                                      P.S. Да может быть я и параноик. Но как говориться «Береженого ...» =)
                                        +5
                                        Бог разведет на пароль…
                                          0
                                          пароль: god? =)
                                          –3
                                          «Береженого Бог бережет, как говорила одна моя знакомая монашка, натягивая презерватив на свечку...» из книги «Санитары подземелий»
                                            0
                                            это бородатый анекдот )
                                            задолго до выхода книги появился
                                  0
                                  Вопрос. Это относится ко всем сервисам mail? Или только к почте? (инфу об этом не нашел)
                                    +1
                                    У mail.ru единая авторизация с единым cookie для всех сервисов.
                                    +37
                                    Вам не надоело жрать кактус???
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        0
                                        какое то обостренное внимание в последнее время к mail.ru похоже они многих обидели чем то=) з. ы. сам предпочитаю гмыл
                                          +1
                                          гмыл рулит конечно.
                                          но от этого можно легко защититься… и вообще если вам так дорог адрес на мыло. ру делайте редирект…
                                          мэйл. ру погиб в тот момент как полетел спам в ящики их мэйлклиентов.
                                            0
                                            гуголь сцуко рулит, яндекс тоже ничего, но майл ру — скачиваю только почтовой программой.
                                            во первых нелюбовь к веб-интерфейсам, а во вторых, нет инета а нужное письмо можно пошукать в архиве
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                +9
                                                Мейл. ру — унылая говномешалка для детей, не знающих других почтовых сервисов.
                                                  –5
                                                  так говорить нельзя, мне так кажется, там работают люди, может быть плохо, но работают. Копипастят/клонируют — но работают. Ваш выбор пользоваться/непользоваться.
                                                    0
                                                    Если они плохо работают — это их проблемы, а не наши.
                                                    0
                                                    Дети — цветы жизни, пусть юзают то, что им больше нравится.
                                                    А мы, кактусы смерти, будем юзать гугл.
                                                      0
                                                      Гугл — корпорация зла, которая следит за каждым твоим шагом
                                                      +16
                                                      для меня майлру умер лет 6-7 назад
                                                        +3
                                                        Да… Когда-то мэйл. ру был действительно крутым… Почта на 25Мб, pop3 и smtp доступ… но по-моему с того времени только немного изменился дизайн и вокруг выросло куча разных сервисов и баннеров.
                                                          0
                                                          Помнится, у них можно было почту проверять по телефону :) Т. е. звонишь, называешь логин и пароль и тебе читают почту. Правда было это ещё до port.ru

                                                          Теперь только гмыл :)
                                                        +5
                                                        Мне совершенно непонятно, как можно сессию не привязывать хоть к чему-то кроме самой сессии.
                                                        $session==md5($user_agent.$user_ip.$user_login.$salt) ? true : false
                                                        решает почти все проблемы.
                                                          –4
                                                          Вы — быдлокодер. Нахрена тринарный оператор, если == и так возвращает булево значение? :)
                                                            0
                                                            Не гоните. Или вы правда думаете, что я выдрал это из исходника вместо того чтобы сделать нагляднее?
                                                              +9
                                                              Вы — быдлоспикер. Нахрена писать «тринарный», если правильно «тернарный»? :)
                                                            +3
                                                            Что вообще, пардон, делать на Mail.Ru? Спам + старейшее неудобное юзабилити. Когда мне за месяц пришло 731 письмо спама, то я решил перебраться на Яндекс. На пороховой бочке я сидеть не хочу. Так что про дыры даже не удивляюсь.

                                                            З. Ы. Всё вышесказанное — ИМХО.
                                                              0
                                                              а почему не к гуглю сразу?
                                                                –1
                                                                Я, конечно, дичайшим образом пардон, но не люблю я ГМайл. Хотя все друзья на нём. Люблю я Яндекс. Душу он мне греет… *краснею* Фанат я Яндекса просто. Тем более за 2 года — ни одного спам письма, прошедшего во «Входящие».
                                                              0
                                                              В логах своего сайта часто наблюдаю такую картину: люди переходят на сайт с почты портала Мейл. Ру. Если кликнуть на эту ссылку, а пользователь в этот момент авторизирован, то можно читать его почту, отправлять письма.
                                                                0
                                                                vlza то что ты тут сейчас рассказал нам лишь полпроцента того объёма багов через который можно почитать чужой ящик ОСОБЕННО на майл ру и его доменах

                                                                я с уверенностью могу пользоваться лишь той почтой домен и сервер которой принадлежат лично мне.
                                                                и никак иначе.
                                                                а те люди которые будут контролировать мою переписку на уровне датацентра… чтож я ничего с ними поделать не могу:)
                                                                  0
                                                                  Меня поражают люди, до сих пор использующие мейл. ру
                                                                    0
                                                                    Я пользуюсь mail.ru, почтовым клиентом и pro.mail.ru, никаких проблем не испытываю, меня поражают люди призывающие отказаться от mail.ru. И да, я знаю про gmail, завел там ящик но не пользуюсь им, просто нет для этого причин.
                                                                      +2
                                                                      Да ладно, pro.mail.ru — очень удобный и лаконичный интерфейс.
                                                                      0
                                                                      Одно время у меня была возможность юзать скрип, представляющий собой сборник различных xss на разных почтовых сервисов — mail.ru в том числе. Точнее не различных, а тех, что после открытия письма пользователя абсолютно не заметно кидает на фейковую страницу авторизации — не знаю точно как был огранизован фейк, но адресная строка оставалась win.mail.ru. Ну а введенные данные логировались. Все это работало около двух месяцев, мб больше.

                                                                      Автор этого чуда, в августе продал сниффер, работающий через xss на том же меир ру — открываете письмо — вся почта, которая есть на ящике копируется к автору письма.
                                                                      От скрипта первого у меня осталось только название и в общем сам скрип есть в паблике — уже не работающий. Если интересно, спросите меня в личке.
                                                                        0
                                                                        Да когда ж люди наконец поймут, что мэйл. ру позорит почтовые службы…
                                                                          0
                                                                          на втором скриншотике у Елены, которой ящик взломали — 24 письма от Рокфеллера:)
                                                                            +2
                                                                            В Одноклассниках такая же фигня.
                                                                              0
                                                                              О дыре на мейл. ру знаю давно, поэтому пользуюсь только google почтой, а мейл ру служит чисто для получения рассылок. Как только я узнал об этой ошибке, я не мог поврерить, что такой гигант как мейл. ру мог допустить такую оплошность.
                                                                                0
                                                                                mail.ru не одни такие… тоже пару раз заходил на почту со статитстики посещений сайта.
                                                                                  0
                                                                                  А кто еще?
                                                                                    0
                                                                                    все беспланые почтовые службы россии и боле того все почтовые службы которые не шифруют трафик с самого начала по умолчаюнию для всех.
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        –1
                                                                                        зато яндексс не делает других не менее важных вещей.
                                                                                        причём критически важных.
                                                                                          +1
                                                                                          А можно пример? Назовите наиболее критическую проблему mail.yandex.ru
                                                                                            –1
                                                                                            этими проблемами актино торгуют на форумах типа античати других.
                                                                                  +2
                                                                                  это просто прекрасно. нет, серьезно. эту дыру мы с коллегой обнаружили году эдак в 2001-2002. похихикали, отзвонились и отписались в mail.ru, предупредили. нас поблагодарили и пообещали дырку залатать. прошло семь лет…

                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                  Самое читаемое