Комментарии 38
Отсюда мораль: следите за своими доменами!
А если уже некому следить? Может быть бывший владелец уже rip.
Тогда ему и на почту свою уже тоже пофигу, и на пароли, которые там хранятся.
Ему то может быть и пофиг, но со стороны гугла в любом случае нехорошо давать доступ к конфиденциальной информации, тем более что там может быть что угодно вплоть до банковских данных.
А как Гугл должен узнать, что доменом управляют уже другие люди?
Вероятно следить за информацией о владельце. Регистратор же все равно изменит ее после продажи.
ну просить чтоб владелец домена прописывал в CNAME какой-нибудь специальный код и при смене пароля это дело проверять, у яндекса вроде так сделано.
> у яндекса вроде так сделано.
нету там такого.
нету там такого.
а это pdd.yandex.ru/help/section22/
Также вы можете подтвердить собственность домена одним из следующих способов:
1) Поместить файл с указанным именем и содержимым в корневой каталог вашего сайта. Это можно сделать через FTP-доступ к вашему сайту.
2) Настроить CNAME запись с указанного на странице поддомена на домен mail.yandex.ru. Для настройки CNAME-записи у вас должен быть доступ к редактированию DNS записей вашего домена у вашего регистратора.
Во-первых, эта штука используется разово, для подтверждения собственности домена.
Во-вторых, можно прекрасно обойтись без нее. Это лишь один из способов.
В-третьих, раз уж на то пошло, у гугла тоже есть возможность подтвердить собственность через CNAME. Однако что у яндекса, что у гугла дальнейшее удаление данной CNAME записи никоим образом не влияет на дальнейшую работу сервиса.
Во-вторых, можно прекрасно обойтись без нее. Это лишь один из способов.
В-третьих, раз уж на то пошло, у гугла тоже есть возможность подтвердить собственность через CNAME. Однако что у яндекса, что у гугла дальнейшее удаление данной CNAME записи никоим образом не влияет на дальнейшую работу сервиса.
Ребята из ФСБ так не считают, поэтому данные умерших людей тоже должны храниться и обрабатываться в соответствии с 152-ФЗ. В США наверняка есть что-то подобное.
Я случайно привязал один из своих доменов к google apps (в админке это делается один кликом), а как отвязать — не могу понять уже пару лет :) Нет такой команды! И хотя оно вроде как и не мешает, но «неаккуратненько».
MX записи сменить на те, которые предоставляет ваш хостер и все — вся отвязка.
Да это понятно :)
Просто даже после этой процедуры, когда домен давно уже работает как реальный сайт — в аккаунте продолжает висеть статус «Google Apps: active». И убрать это невозможно, кнопка работает по системе «ниппель». Не мешает, но глаз мозолит.
Просто даже после этой процедуры, когда домен давно уже работает как реальный сайт — в аккаунте продолжает висеть статус «Google Apps: active». И убрать это невозможно, кнопка работает по системе «ниппель». Не мешает, но глаз мозолит.
Насколько я знаю, там в настройках есть возможность полностью удалить все аккаунты и апсы со всеми данными «You can close your Google Apps account and delete all user accounts and data associated with it.» Т.е. просто надо не забывать удалять все, если забрасываете домен.
Неоплаченный домен находится в RedemptionPeriod в течение 30 дней, потом еще в PendingDelete в течение 5 дней.
Если за этот срок домен владельцу так не понадобилось проплатить, то ценность почты на нем уже будет весьма сомнительна.
Если за этот срок домен владельцу так не понадобилось проплатить, то ценность почты на нем уже будет весьма сомнительна.
А если, например, человек в больницу попал на это время?
В какой-то степени вы правы… Если человек попал в больницу, да еще так, что потерял дееспособность. Но каковы шансы попать в больницу на месяц с полной потерей дееспособности, да еще во время когда срок действия домена заканчивается. Плюс надо, чтоб доменом пользовался только именно этот конкретный бедняга.
Каковы бы ни были шансы — они есть, а значит это доступ к конфиденциальной информации без ведома ее владельца, а значит дыра в безопасности.
Тогда если развивать мысль, то многие сервисы осуществляют восстановление пароля путем его отправления на адрес электронной почты.
Таким образом, восстановив drop`нутый домен можно безо всяких google apps`ов в теории получать такого рода письма с восстановленными паролями.
Таким образом, восстановив drop`нутый домен можно безо всяких google apps`ов в теории получать такого рода письма с восстановленными паролями.
В свое время кстати таким образом хитроумные граждане навосстанавливали себе короткие ICQ UIN`ы: писался скрипт для поиска UIN-ов с адресами на @hotmail.com и других почтовых серверах, где аккаунт удалялся по истечении некоторого количества времени непользования.
Адрес заново регистрировался, на него приходило письмо с восстановлением доступа к ICQ.
Адрес заново регистрировался, на него приходило письмо с восстановлением доступа к ICQ.
Ваши аргументы мне понятны, но вот вопрос — я не хочу чтобы к моему GA кто-то чужой смог получить доступ если со мной что-то случится. Как мне себя обезопасить? В случае с ICQ насколько я понимаю владельцу достаточно было изменить email. Тут же для полной безопасности надо полностью отказаться от GA?
Поэтому важные домены надо оплачивать сразу на несколько лет, и с продлением не тянуть до истечения срока регистрации )
Разве это дыра и проблема Google Apps?
Это проблема администратора. Подобным трюком все таскали ICQ-номера, зарегистрированные на Hotmail — ящики так же удалялись за неактивностью.
Это проблема администратора. Подобным трюком все таскали ICQ-номера, зарегистрированные на Hotmail — ящики так же удалялись за неактивностью.
Рассказываю случай из жизни. Купил домен на аукционе (чудом, обмудрив противника, который был, судя по всему, предыдущим владельцем). Начал разворачивать классику — Google Apps, не дает — говорит, мол, уже существует. В общем завладеть доступом к GA было делом 2х дней, даже не смотря на запрет восстановления пароля и прочих мелочей. Понятное дело, GA контент был возвращен предыдущему владельцу, расстались по-дружески.
Собственно вторая уязвимость. Входим в чей-нибудь GA-account, доступа как следует полагать — нет, возможности восстановить пароль тоже (отключена по дефолту). Теперь логинимся под своим GA-account'ом и перелогиниваемся (пробуем) под первым — появится возможность восстановить пароль :)
Собственно вторая уязвимость. Входим в чей-нибудь GA-account, доступа как следует полагать — нет, возможности восстановить пароль тоже (отключена по дефолту). Теперь логинимся под своим GA-account'ом и перелогиниваемся (пробуем) под первым — появится возможность восстановить пароль :)
У яндекса например если вы купили сайт и вешаете свой код метрики, то вы не получите доступ к предыдущей статистике. И это всего лишь статистика…
А проблема с почтой, такая поголовно… я такое видел у трех хостеров… Просто нет механизма ее удаления или руки не доходят. Они не знают, в каком случае можно удалить, а в каком нет.
А проблема с почтой, такая поголовно… я такое видел у трех хостеров… Просто нет механизма ее удаления или руки не доходят. Они не знают, в каком случае можно удалить, а в каком нет.
Вот тут бы помогла двухшаговоя верификация
«Следующее, что он увидел, был почтовый ящик с архивом почты за несколько лет с кучей паролей и другой ценной информации. » — В Google Apps пароли скрыты, по крайней мере я как администратор домена — посмотреть или узнать их НИКАК не могу. Разве что пароли хранились в почте? О_О
«Через несколько минут Бен уже был на сайте Amazon под чужим именем.»
А Бен то зря времени не терял!
А Бен то зря времени не терял!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Истёкшие домены — дыра в безопасности Google Apps