Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 46
Двухфакторная авторизация же…
А некоторым и воровать не надо (выдержка из пользовательского соглашения, на которое есть ссылка и при регистрации аккаунта в gmail.com):
Ваше содержание в Службах
Некоторые наши Службы позволяют распространять содержание. При этом все права на интеллектуальную собственность в отношении этих материалов остаются у их владельца. Проще говоря, все, что было вашим, таковым и останется.
Загружая или иным образом добавляя материалы в наши Службы, вы предоставляете компании Google и ее партнерам действующую во всем мире лицензию, которая позволяет нам использовать это содержание, размещать его, хранить, воспроизводить, изменять, создавать на его основе производные работы (например, переводы, адаптации и прочие способы оптимизации материалов), обмениваться им, публиковать его, открыто воспроизводить, отображать, а также распространять. Перечисленные права, которые вы предоставляете нам, используются исключительно для обеспечения работы существующих Служб, их продвижения и совершенствования, а также для разработки новых. Указанная лицензия будет действовать и после того, как вы откажетесь от использования Служб (например, мы будем по-прежнему использовать данные о компании, добавленные вами на Карты Google). В некоторых Службах разрешается просматривать и удалять добавленное в них содержание. В некоторых из них также действуют условия и настройки, которые накладывают ограничение на использование нами таких материалов. Прежде чем отправлять нам содержание и тем самым предоставлять лицензию на его использование, убедитесь, что у вас есть на это соответствующие права.
Подробная информация о том, как Google применяет и хранит содержание, приведена в политике конфиденциальности и в дополнительных условиях использования соответствующих Служб. Если вы отправляете нам отзывы и предложения относительно работы со Службами, мы оставляем за собой право реализовывать их, не возлагая на себя никаких обязательств перед их автором.
Ваше содержание в Службах
Некоторые наши Службы позволяют распространять содержание. При этом все права на интеллектуальную собственность в отношении этих материалов остаются у их владельца. Проще говоря, все, что было вашим, таковым и останется.
Загружая или иным образом добавляя материалы в наши Службы, вы предоставляете компании Google и ее партнерам действующую во всем мире лицензию, которая позволяет нам использовать это содержание, размещать его, хранить, воспроизводить, изменять, создавать на его основе производные работы (например, переводы, адаптации и прочие способы оптимизации материалов), обмениваться им, публиковать его, открыто воспроизводить, отображать, а также распространять. Перечисленные права, которые вы предоставляете нам, используются исключительно для обеспечения работы существующих Служб, их продвижения и совершенствования, а также для разработки новых. Указанная лицензия будет действовать и после того, как вы откажетесь от использования Служб (например, мы будем по-прежнему использовать данные о компании, добавленные вами на Карты Google). В некоторых Службах разрешается просматривать и удалять добавленное в них содержание. В некоторых из них также действуют условия и настройки, которые накладывают ограничение на использование нами таких материалов. Прежде чем отправлять нам содержание и тем самым предоставлять лицензию на его использование, убедитесь, что у вас есть на это соответствующие права.
Подробная информация о том, как Google применяет и хранит содержание, приведена в политике конфиденциальности и в дополнительных условиях использования соответствующих Служб. Если вы отправляете нам отзывы и предложения относительно работы со Службами, мы оставляем за собой право реализовывать их, не возлагая на себя никаких обязательств перед их автором.
Настораживает ещё и противоречивая фраза:
To disallow ...@gmail.com to automatically forward mail to your address, please click the link below to confirm the request«Чтобы запретить, кликните, чтобы подтвердить»
Я включил приход смс от гугла, если открывают gmail с другого компьютера. google account->security
Возможно, имеется в виду двухшаговая авторизация. Если её включить, то приходит смс с кодом. Если пришёл код, но вы при этом не заходили в гугл, значит… Ну, вы поняли.
да есть бага интересная с этой авторизацией. Когда ее включил, тестовые смс не приходили, раз 5 пробовал. Пришлось включить голосовой звонок с кодом. Возможно это связано с моим оператором в Таиланде
в России без проблем срабатывает, при вводе пароля уведомление появляется, что мол щас Вам смс придёт, ждите, и окошко с вводом кода из смс.
Смска приходит на удивление очень быстро :)
вводим код, логинимся в почту
З.Ы. не прокатит залогиницца на Андройдных девайсах, сразу же ошибка авторизации и всё
для телефона пришлось доп. аккаунт делать
Смска приходит на удивление очень быстро :)
вводим код, логинимся в почту
З.Ы. не прокатит залогиницца на Андройдных девайсах, сразу же ошибка авторизации и всё
для телефона пришлось доп. аккаунт делать
Для андроидных девайсов, инстант мессенджеров и другого софта там есть генерация дополнительных паролей (пароли приложений).
Хотя это несколько снижает безопасность системы…
Хотя это несколько снижает безопасность системы…
Ничего это не снижает. При помощи пароля приложения нельзя изменить настройки аккаунта, нужен основной пароль+код из СМС. А отключить скомпрометированный пароль приложения можно в пару кликов.
Было бы хорошо если бы все было именно так как описано, но к сожалению, это утверждение не соответствует действительности.
Я только что зашел на панель управления аккаунтом с андроида, на котором ни разу не вводил основной пароль от гугля. Функция андроида «залогиниться текущим аккаунтом» отлично срабатывает при повторном запросе пароля.
Я только что зашел на панель управления аккаунтом с андроида, на котором ни разу не вводил основной пароль от гугля. Функция андроида «залогиниться текущим аккаунтом» отлично срабатывает при повторном запросе пароля.
Можно подробнее, как вы это сделали? Только что попробовал — не получилось.
Захожу браузером в телефоне на страницу со своим гуглопрофилем.
Появляется форма ввода пароля. Одновременно вверху экрана появляется предложение от андроида «войти как» со списком подключенных аккаунтов.
Нажимаю «войти», и попадаю на страницу управления профилем без ввода настоящего пароля.
Появляется форма ввода пароля. Одновременно вверху экрана появляется предложение от андроида «войти как» со списком подключенных аккаунтов.
Нажимаю «войти», и попадаю на страницу управления профилем без ввода настоящего пароля.
В таких ситуациях запоминание логина и пароля спасает хомячков, меня бы в первую очередь насторожило что поля логина и пароля не подсвечиваются браузером, значит он их здесь не запоминал, а значит палево.
Можно подробнее о деталях атаки?
По ссылке check-googlemail.com перекидывает на google.com
По ссылке check-googlemail.com перекидывает на google.com
chrome тоже блокирует
А если не использовать веб-интерфейсы для почты, сам лично крайне редко ими пользуюсь, предпочитаю SimpleMail для Fx.
ServiceLogin.php — лолшто?
Пароль от Google нужно хранить как зеницу ока. Ведь помимо Gmail у пользователей по умолчанию включено автосохранение паролей — а при включённой синхронизации для аккаунта Google, все эти пароли хранятся на стороне Google. Поэтому злоумышленнику, в случае попадания в его руки всего одного пароля, сможет быть доступен весь пул интернет-активности пользователя.
Двухфакторная аутентификация — наше всё.
Ещё одна причина использовать разные пароли для разных сервисов и держать их все если не в голове, то на личной машинке. Google такой услуги (свой пароль на каждый сервис) не предоставляет, к сожалению, из-за чего в своё время пришлось отказаться от его использования.
Не увидел «серьезной реализации».
Но за предупреждение спасибо.
Но за предупреждение спасибо.
Правило №1: нельзя ходить в интернет!
я единственный, кто не читает длинные письма на не русском от левых отправителей и сразу кидает их в спам/корзину?
Домен добавлен в базу фишинга SkyDNS, спс за наводку
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как воруют вашу почту: gmail fishing