Комментарии 39
ничего удивительного. в любой почте можно найти разного рода уязвимости
Вполне согласен, уязвимости есть вообще у всего, но этот пример — это как будто узнать, что дверь лексуса можно открыть с пинка так же, как дверь запорожца.
двери лексуса несанкционированно открывают чаще, чем двери запорожца ;) это ведь всего лишь железо, а почтовые сервисы - детища людей, всем свойственно ошибаться, даже программистам.
В гугле тоже работают обычные люди (как это ни странно :)))) Которые тоже ошибаются..
НЛО прилетело и опубликовало эту надпись здесь
1. Срочно полез проверять свои фильтры :)
2. Пользуйтесь IMAP.
3. Каким именно образом заделана брешь? Как вообще (вебмастеру) можно защититься от подобных атак?
2. Пользуйтесь IMAP.
3. Каким именно образом заделана брешь? Как вообще (вебмастеру) можно защититься от подобных атак?
Защита может быть разной: проверять, откуда пришел запрос, отказаться от сессий вообще, принимать какой-нибудь уникальный хэш, итд. Какой метод использовали в гугле — понятия не имею, к исходникам у меня доступа нет :) Просто было сказано, что залатали.
а чем поможет отказ от сессий? и где будет храниться уникальный ключ?
К примеру, вписывать в форму, отсылающую запрос, хидденами логин и хэш времени последней авторизации. Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром :)
"К примеру, вписывать в форму, отсылающую запрос, хидденами логин и хэш времени последней авторизации"
получается, что эти параметры нужно будет таскать еще и во всех урлах.
"Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром"
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)
получается, что эти параметры нужно будет таскать еще и во всех урлах.
"Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром"
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)
получается, что эти параметры нужно будет таскать еще и во всех урлах.
Зачем их таскать? Они и так есть на каждой странице, просто для верификации вставлять их в конкретную форму.
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)
Отказываемся от сессии как от объекта, который в любых условиях позволяет зайти без повторной авторизации, как массив данных она вполне годится.
Ага, в ЖЖ так сделано. По крайней мере в админ-консоли (http://www.livejournal.com/admin/console…)...
Проверка referrer со своего сайта, или нет.
да не. так не получится. реферрера изменить не проблема :)
Не согласен. Указанный хак возможен только если нормальный пользователь сабмитит форму на сайт А с сайта Б (взломанного, или хакерского), и при том на сайе А работает живая сессия. Подчёркиваю, что пользователь это должен сделать нормальный, которого ломают. И у него нормальный браузер, который отдаёт referrer. А у себя на машине хакер может хоть все заголовки поменять ему то не поможет хакнуть пользователя.
да нет. вы путаете, я могу сделать запрос к серверу gmail на стороне клиента, со всеми необходимыми хидерами.
Поясните, пожалуйста. Мы ведь про веб? То есть никаких exe-фалов пользователь не запускал, только чистый веб. Тут не то что заголовки, но cross-site restrictions ещё победить надо для начала. Флеш, что ли, умеет заголовки как-то менять и посылать запрос на другой сервер?
Хм. Никогда не имет домена, но разве можно его просто так украсть? Т.е. домен это не такая штука, которую взял, стащил, положил в карман и требуешь за нее деньги. Он же находится у фирмы-регистратора.
Это как украсть счет в банке и сказать - он теперь мой. Если хочешь что бы он был твой, плати мне)
Это как украсть счет в банке и сказать - он теперь мой. Если хочешь что бы он был твой, плати мне)
НЛО прилетело и опубликовало эту надпись здесь
Мораль проста: юзайте почтовый клиент и IMAP.
По поводу потери доменов нужно просто договоры заключать с регистратором. Тогда без подписанной мною доверенности на передачу домена никто его не уведёт.
По поводу потери доменов нужно просто договоры заключать с регистратором. Тогда без подписанной мною доверенности на передачу домена никто его не уведёт.
Второе слово статьи - исправьте опечатку )
Спасибо!
Хотя у меня гмайл на собственном домене и post на gmail ни к чему бы не привёл (кроме случая адресной атаки), полезно знать о такой возможности взлома.
Постараюсь открывать важные сайты в отдельном браузере (не зря ж у меня их четыре штуки установлено).
Хотя у меня гмайл на собственном домене и post на gmail ни к чему бы не привёл (кроме случая адресной атаки), полезно знать о такой возможности взлома.
Постараюсь открывать важные сайты в отдельном браузере (не зря ж у меня их четыре штуки установлено).
А будь это МС, тут бы 99% комментов было бы негативных...
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Познавательная история об уязвимости Gmail от Дэвида Айри