Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 47
Вы бы ссыку на оригинал повесили бы. Там и ответ Мейла уже есть. Вот оригинал: blog.yurganov.com/all/neetichny-mail-ru
По-моему, этой фиче сто лет в обед. Первым появилось лет 10 назад в gmail, а, возможно, и еще раньше. После этого все остальные сервисы обзавелись подобным.
Я для сбора писем с разных ящиков в один пользуюсь по-старинке обычным форвардингом.
Я для сбора писем с разных ящиков в один пользуюсь по-старинке обычным форвардингом.
По-моему, вы не поняли, о чем говорится в статье.
Я, видимо, тоже.
На outlook/live.com уже сто лет такая система: говоришь свой гмейловский логин-пароль, он делает тебе аккаунт и он забирает с/отправляет через гмейл твою почту.
В чём разница?
На outlook/live.com уже сто лет такая система: говоришь свой гмейловский логин-пароль, он делает тебе аккаунт и он забирает с/отправляет через гмейл твою почту.
В чём разница?
В том что mail молча создает аккаунт и молча забирает почту, то есть если кто-то по ошибке ввел gmail'ский аккаунт/пароль, то его данные доступа к gmail'у внезапно окажутся сохраненными где-то в mail'e и если вдруг будет потерян аккаунт mail'a, то злоумышленник получит доступ ко всей почте gmail'а.
Если другие сервисы для очистки совести спросят «а вы действительно хотите связать чужой аккаунт с нашим?», то mail просто берет и переносит все данные с чужого сервиса незаметно для пользователя.
Если другие сервисы для очистки совести спросят «а вы действительно хотите связать чужой аккаунт с нашим?», то mail просто берет и переносит все данные с чужого сервиса незаметно для пользователя.
А, вся фишка в том, что кто-то может не понять, что происходит и подумает, что почта из другого почтового ящика появляется на мейл.ру с помощью какой-то магии, а то, что ты указал от него логин-пароль, так это просто так и никакого отношения к происходящему не имеет? Ну не знаю, не знаю…
Поверьте, для значительной части пользователей инета все что в нем происходит это МАГИЯ, они и номер карточки с пинкодом в каком-то левом сайте ввести готовы. Другие просто невнимательны. Представьте что вы заходите в однокласники с данными вконтакте и внезапно обнаруживаете что однокласники без вашего ведома создал аккаунт и перенес все данные из вконтакта. Или что ещё веселее вы заходите на сайт втб с данными сбербанка, а он молча забирает все ваши счета с сайта сбербанка и начинает ими управлять.
ИМХО, о таких критичных вещах как миграция, пересылка и сохранение пароля от чужого сервиса все-таки должны спросить хотя бы подтверждения.
ИМХО, о таких критичных вещах как миграция, пересылка и сохранение пароля от чужого сервиса все-таки должны спросить хотя бы подтверждения.
Да, этой фиче куча лет.
Дело не в том, что это, а в том как это реализовано в mail.ru.
А реализовано так, чтобы никто ничего не понял.
Дело не в том, что это, а в том как это реализовано в mail.ru.
А реализовано так, чтобы никто ничего не понял.
А как это реализовано? Я вижу на скриншоте, чтобы это сработало в поле логина нужно ввести логин от ящика и ЕГО ДОМЕН, вот так случайно по невнимательности, ага…
Знали бы вы, как сейчас пользуются компьютером обычные пользователи (мамы, бабушки).
Они не знают, что такое браузер, для них есть значок с интернетом.
Они не знают, что такое адресная строка — у них домашней страницей открывается яндекс, в котором они и вводят «одноклассники» на кириллице.
В такой ситуации они не совсем поймут, что такое «домен».
Есть сайт электронной почты — mail.ru, значит там электронная почта.
У mail.ru, кстати есть несколько доменов: mail.ru, list.ru и т.д. — мы просто привыкли, что у них только 4 домена.
Малая компьютерная грамотность пользователей — это типичная ситуация, которой уже много лет.
Владельцы интернет площадок про это давно знают.
И именно по этой причине всякие guard и «хранитель настроек» работают по принципу «незаметно подставить свое».
Если бы все пользователи разбирались что к чему и эти программы не давали бы результат, таких программ бы просто не делали.
Они не знают, что такое браузер, для них есть значок с интернетом.
Они не знают, что такое адресная строка — у них домашней страницей открывается яндекс, в котором они и вводят «одноклассники» на кириллице.
В такой ситуации они не совсем поймут, что такое «домен».
Есть сайт электронной почты — mail.ru, значит там электронная почта.
У mail.ru, кстати есть несколько доменов: mail.ru, list.ru и т.д. — мы просто привыкли, что у них только 4 домена.
Малая компьютерная грамотность пользователей — это типичная ситуация, которой уже много лет.
Владельцы интернет площадок про это давно знают.
И именно по этой причине всякие guard и «хранитель настроек» работают по принципу «незаметно подставить свое».
Если бы все пользователи разбирались что к чему и эти программы не давали бы результат, таких программ бы просто не делали.
Но даже они в поле логина не подставят полный адрес почтового ящика. или подставят? и не лень им вбивать постоянно весь адрес целиком?
Обычно такие пользователи ничего не вбивают, у них установка от более опытных пользователей открыть файл пароли.txt на рабочем столе и скопировать первую строчку в первое окошко, а вторую сточку во второе окошко (сам примерно так и обучал). Все остальное их не интересует.
Ну, вписать, или скопировать и вставить — надо только разок.
А дальше в дело вступают сессионные куки.
А дальше в дело вступают сессионные куки.
Этим летом у нас в конторе такое произошло. Я голову сломал пока понял в чем дело. Сотрудница ввела конторский адрес (яндекс почта, но на собственном домене) и пароль в mail.ru и он спокойно показывал все письма. Для человека ожидающего, что почта от яндекса работает только в яндексе это выглядело дико. Потом провел эксперимент и убедился, что mail.ru действительно никак не показывает, что человек ввел чужую почту просто не в то окно. Это свинство я описал на паре сайтов, но набежала куча сотрудников mail.ru и в формате обсуждения между собой доказывали, что это правильно и именно так и надо делать.
Если бы они ещё рекламу на мобильной почте вырезали, которая мимикрирует под письма, им бы вообще цены бы не было!
Вот это фича, у меня волосы стали дыбом, на мой взгляд это фишинг чистой воды.
Полностью согласен. Думаю Яндексу стоит обратиться в Роскомнадзор, что б разрешить данный вопрос, а то такое поведение — наглость высшей степени (хуже может быть лишь автоматическое подключение без ведома пользователя, с параллельной установкой Амиго), я вижу два варианта.
Писать жирным над кнопкой «Продолжить» — сообщение о подключении стороннего сервиса. Мол у нас нет такого, но вы можете перенести свои письма к нам.
Либо вариант второй — убрать эту фичу вообще, оставив возможность подключения сторонних сервисов лишь изнутри аккаунта, как это сделано везде.
Писать жирным над кнопкой «Продолжить» — сообщение о подключении стороннего сервиса. Мол у нас нет такого, но вы можете перенести свои письма к нам.
Либо вариант второй — убрать эту фичу вообще, оставив возможность подключения сторонних сервисов лишь изнутри аккаунта, как это сделано везде.
А что не понравилось господам минусующим? Варианты плохие или глупость какую сморозил? Просьба донести, что б я осознал и впредь не грешил.
В первую очередь вы роскомнадзор накликали. Жаловаться туда кроме реальных случаев детского порно — моветон.
А уж в данном случае они и вовсе не при чём.
А второе ваше предложение очень даже хорошее.
А уж в данном случае они и вовсе не при чём.
А второе ваше предложение очень даже хорошее.
Ну обычно обращаются к хостеру, т.к. там в правилах указано не создавать непотребства, а в данном случае как тогда? Я просто не знаю ни одной организации, отвечающей за подобные вещи и не думаю, что меилру пошевелились бы, если их попросить, вот и назвал первую вспомнившуюся организацию, отвечающую за урегулирование конфликтных ситуаций в интернет-сфере, походу мимо, т.к. не интересовался конкретной областью их обязанностей, прошу прощения.
Пользователь yandex почты заходит на страницу, которая выглядит как почта mail.ru, вводит туда логин-пароль от yandex, наблюдая при этом mail.ru в поле домена. Ну, и где тут фишинг? К тому же, они пишут
Вы можете войти в почту с помощью аккаунта любого почтового сервиса и легко переключаться между ними, не выходя из почты.
По строгим понятиям фишингом это не назовёшь, но ведь мы с вами прекрасно знаем, что подавляющее большинство пользователей мейл.ру не просто не очень отличают домены, сервисы и т.д., для них «маилру» — синоним электронной почты, потому они не подозревают, что творят.
Тут конечно «сам дурак» и налицо эксплуатация мейлом людского невежества, но давайте спросим у этих самых невежд, мне кажется все будут только за, ведь «удобно сделали!»
Тут конечно «сам дурак» и налицо эксплуатация мейлом людского невежества, но давайте спросим у этих самых невежд, мне кажется все будут только за, ведь «удобно сделали!»
Лучше бы они наняли дизайнеров на интерфейс почтовика. А то я уже сколько лет пользуюсь, и всё никак не могу привыкнуть, что при ответе на письмо кнопка «Отправить» находится за пределами видимой области экрана, по крайней мере, на FullHD-мониторе. А кнопка «Ответить» на панели инструментов не отправляет письмо, а отменяет его и заново ответа форму ответа.
Если вы задумываетесь о безопасности, то используйте разные пароли на разных сервисах.
А для тех, кто не задумывается это может быть удобно… наверно.
А для тех, кто не задумывается это может быть удобно… наверно.
Проблема в том что очень многие по ошибке вводят данные не того сервиса. Человек, мало разбирающийся в компах, заходит на mail вводит данные gmail'a и его почта без предупреждения мигрирует на mail. При этом от этого не спасет даже то что админ/внук/сын настроил gmail с многофакторной авторизацией, потеряв аккаунт на mail'е у человек может потерять и gmail (или хотя бы почту с него).
Я так понимаю, в таком случае в mail.ru хранится пароль от стороннего почтового аккаунта? Так можно делать без согласия владельца аккаунта?
По моему это наоборот здорово. Может немного не очевидно, что письма будут переносится, но тем не менее. На многих сайтах хранятся ваши email+пароль, значит и этот сервис может получить доступ к вашей почте, если пароли совпадают. А они совпадают думаю больше чем в половине случаев.
А вы, случайно, не работаете в mail@ru?
И на сколько законным будет такой доступ?
На многих сайтах хранятся ваши email+пароль
Вы хотели сказать email+хеш пароля?
Если сервис намеренно хранит пароль юзера текстом, да ещё и пробует с этим паролем зайти в почту юзера на почтовом сервисе… причем скрыто от пользователя, то это уже уголовка.
Не хранятся. Такие недосервисы уже давным давно погибли, а те что остались слишком мелкие чтобы составить даже статистическую погрешность. Даже лет 10 назад большинство сервисов стало хранить пароль в необратимом виде, проверить его не составляет труда а восстановить изначальный задача неймоверно ресурсоемкая.
Собственные пароли, может, в хешированном виде и хранят.
А вот пароли от чужих аккаунтов (о чём идёт речь в статье) хранить нужно в чистом виде.
Ты ведь не дашь другому мейлсерверу хеш вместо пароля.
А вот пароли от чужих аккаунтов (о чём идёт речь в статье) хранить нужно в чистом виде.
Ты ведь не дашь другому мейлсерверу хеш вместо пароля.
А почему нет? Аська, она авторизуется через хеш — пароль в открытом виде не передаётся и не хранится на клиенте, чем почтовые сервера хуже? более того, у этих почтовых серверов может быть договоренность и почту забирать будет вообще без указания пароля и даже логина — по какому-то хитрому GUID после обоюдного согласования подробностей и однократной проверки пароля. Может даже для этого и стандартные почтовые протоколы не будут задействованы.
Да пёс с ним, что читают почту.
Эти сучьи мрушники вчера мне мою яндексовскую переписку пометили как спам! Прямо на яндексовом сервере!
Причём пароли у меня для мру и яндекса разные. Но когда-то я имел благоглупость воспользоваться мрушным андроидным клиентом для доступа к аккаунту яндекса. Видимо, вот тогда-то они и угнали пароль.
4.14159!
Эти сучьи мрушники вчера мне мою яндексовскую переписку пометили как спам! Прямо на яндексовом сервере!
Причём пароли у меня для мру и яндекса разные. Но когда-то я имел благоглупость воспользоваться мрушным андроидным клиентом для доступа к аккаунту яндекса. Видимо, вот тогда-то они и угнали пароль.
4.14159!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почта на Mail@Ru ведёт себя так удобно, что аж страшно