Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 39
ничего удивительного. в любой почте можно найти разного рода уязвимости
Вполне согласен, уязвимости есть вообще у всего, но этот пример — это как будто узнать, что дверь лексуса можно открыть с пинка так же, как дверь запорожца.
В гугле тоже работают обычные люди (как это ни странно :)))) Которые тоже ошибаются..
1. Срочно полез проверять свои фильтры :)
2. Пользуйтесь IMAP.
3. Каким именно образом заделана брешь? Как вообще (вебмастеру) можно защититься от подобных атак?
2. Пользуйтесь IMAP.
3. Каким именно образом заделана брешь? Как вообще (вебмастеру) можно защититься от подобных атак?
Защита может быть разной: проверять, откуда пришел запрос, отказаться от сессий вообще, принимать какой-нибудь уникальный хэш, итд. Какой метод использовали в гугле — понятия не имею, к исходникам у меня доступа нет :) Просто было сказано, что залатали.
а чем поможет отказ от сессий? и где будет храниться уникальный ключ?
К примеру, вписывать в форму, отсылающую запрос, хидденами логин и хэш времени последней авторизации. Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром :)
"К примеру, вписывать в форму, отсылающую запрос, хидденами логин и хэш времени последней авторизации"
получается, что эти параметры нужно будет таскать еще и во всех урлах.
"Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром"
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)
получается, что эти параметры нужно будет таскать еще и во всех урлах.
"Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром"
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)
получается, что эти параметры нужно будет таскать еще и во всех урлах.
Зачем их таскать? Они и так есть на каждой странице, просто для верификации вставлять их в конкретную форму.
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)
Отказываемся от сессии как от объекта, который в любых условиях позволяет зайти без повторной авторизации, как массив данных она вполне годится.
Ага, в ЖЖ так сделано. По крайней мере в админ-консоли (http://www.livejournal.com/admin/console…)...
Проверка referrer — со своего сайта, или нет.
да не. так не получится. реферрера изменить не проблема :)
Не согласен. Указанный хак возможен только если нормальный пользователь сабмитит форму на сайт А с сайта Б (взломанного, или хакерского), и при том на сайе А работает живая сессия. Подчёркиваю, что пользователь это должен сделать нормальный, которого ломают. И у него нормальный браузер, который отдаёт referrer. А у себя на машине хакер может хоть все заголовки поменять — ему то не поможет хакнуть пользователя.
да нет. вы путаете, я могу сделать запрос к серверу gmail на стороне клиента, со всеми необходимыми хидерами.
Хм. Никогда не имет домена, но разве можно его просто так украсть? Т.е. домен это не такая штука, которую взял, стащил, положил в карман и требуешь за нее деньги. Он же находится у фирмы-регистратора.
Это как украсть счет в банке и сказать - он теперь мой. Если хочешь что бы он был твой, плати мне)
Это как украсть счет в банке и сказать - он теперь мой. Если хочешь что бы он был твой, плати мне)
Мораль проста: юзайте почтовый клиент и IMAP.
По поводу потери доменов нужно просто договоры заключать с регистратором. Тогда без подписанной мною доверенности на передачу домена никто его не уведёт.
По поводу потери доменов нужно просто договоры заключать с регистратором. Тогда без подписанной мною доверенности на передачу домена никто его не уведёт.
Второе слово статьи - исправьте опечатку )
Спасибо!
Хотя у меня гмайл на собственном домене и post на gmail ни к чему бы не привёл (кроме случая адресной атаки), полезно знать о такой возможности взлома.
Постараюсь открывать важные сайты в отдельном браузере (не зря ж у меня их четыре штуки установлено).
Хотя у меня гмайл на собственном домене и post на gmail ни к чему бы не привёл (кроме случая адресной атаки), полезно знать о такой возможности взлома.
Постараюсь открывать важные сайты в отдельном браузере (не зря ж у меня их четыре штуки установлено).
А будь это МС, тут бы 99% комментов было бы негативных...
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Познавательная история об уязвимости Gmail от Дэвида Айри