Комментарии 38
-
каждый раз убеждаюсь, что для важных дел надо свой почтовик иметь, а паблики под спам всякий оставлять, ни разу ещё не пожалел.
Я таким не занимался, обычный шаред хостинг, цепляешь аутлук и работаешь себе.
Почта в аутлуке и не сервере, зачем второй датацентр.
Почта в аутлуке и не сервере, зачем второй датацентр.
Щаред хостинг не бесплатный совсем, я такое не говорил.
Совершенно верно, только его провайдер поднял, а не я.
Я же только почту принимаю и да проблем нет у меня, только платить раз в год надо.
Я же только почту принимаю и да проблем нет у меня, только платить раз в год надо.
получить доступ к открытому на нем аккаунту можно и проще — например, посмотрев сохраненный в браузере пароль.
Пароли могут не сохранятся браузером (как у меня, например), но в почту пользователь может быть залогинен. Так что это не аргумент.
Хром чуь ли не по умолчанию (?) требует ввода пароля от аккаунта для просмотра сохраненных паролей.
Но в консольке у предзаполенного поля можно поменять тип. Или в свойствах посмотреть value. И будет пароль в открытом виде без необходимости ввода пароля.
FF так же при первом сохранённом логине предлагает установить пароль на просмотр сохранённых логинов. При отказе эта возможность остаётся в настройках, там где эти логины и сохранены.
И хром и фф (остальные, уверен, тоже) хранят пароли в открытом виде. Просто откройте инструменты разработчика на странице с звездочками сохраненного пароля и измените тип поля с "password" на любой другой. Вуаля, пароль в открытом виде.
Интересно, ключи ФСБ они давать не очень хотели как раз аргументируя тем, что ключи дадут доступ не только к почте, но и ко всем сервисам. Видимо решили уравнять в правах.
"Возможность пересылки писем", как я понимаю, дыру не открывает: ссылку ведь надо открыть в браузере, в котором уже залогинен.
Но да, фича пока выглядит сырой. Недаром чтобы "посмотреть сохранённый в браузере пароль" — надо вначале ввести локальный пароль пользователя. При использовании смартфона — тоже хочется, чтобы после перехода по ссылке — пришлось бы на смартфоне приложить палец или ввести пин.
«Возможность пересылки писем», как я понимаю, дыру не открывает: ссылку ведь надо открыть в браузере, в котором уже залогинен.
Что-то не вижу инфы об этом в ФАКе от яндекса
В скриншоте: "откройте его на устройстве, где вы авторизованы". В описании функции — "чтобы войти через письмо, нужно сначала войти в Яндекс.Почту на другом устройстве".
Может, конечно, я что-то неправильно понял, но вроде довольно однозначно написано. Т.е. подойти к незалоченному компу — сработает, а вот настроить переадресацию — уже нет.
Когда они уже перестанут требовать «Контрольный вопрос» для удаления аккаунта…
Это "новшество" существует уже лет 20 как минимум в таких древних ресурсах, как craigslist.org
У них вообще в последние годы понятие о безопасности странное какое-то. Проследите эволюцию входа в аккаунт:
— Сначала (и долгое время) было стандартное окно ввода логина/пароля и галочка «Запомнить меня» (по умолчанию не стояла).
— Потом галочка превратилась в «Чужой компьютер» т.е. по умолчанию авторизация стала сохраняться в куках, а если не хотим, то надо вручную галку тыкать каждый раз.
— Затем вход стал двухэтапный — вводим сначала логин, потом на следующем окне пароль. При этом отказаться от сохранения в куках стало вовсе не возможно — теперь надо либо логофиться вручную, либо использовать сразу режим инкогнито.
— И вишенка на торте — валидность логина проверяется сразу после его ввода. Если такого логина нет, то об этом сразу же сообщается и до ввода пароля дело не доходит. Тут я даже комментировать не буду.
А еще этот их Коннект где всему домену принудительно назначается список рассылки all@my_domain.tld. Ребят, вы серьёзно? Т.е. если ты фишер, то раньше тебе надо было узнать адреса, а теперь ты в тупую можешь парсить DNS на предмет поиска доменов с MX на Яндексе и рассылать письма на all@.
Я им писал тоже про это, мол что вы творите-то? В ответ — да, мы приняли, подумаем над этим (год уже прошёл).
— Сначала (и долгое время) было стандартное окно ввода логина/пароля и галочка «Запомнить меня» (по умолчанию не стояла).
— Потом галочка превратилась в «Чужой компьютер» т.е. по умолчанию авторизация стала сохраняться в куках, а если не хотим, то надо вручную галку тыкать каждый раз.
— Затем вход стал двухэтапный — вводим сначала логин, потом на следующем окне пароль. При этом отказаться от сохранения в куках стало вовсе не возможно — теперь надо либо логофиться вручную, либо использовать сразу режим инкогнито.
— И вишенка на торте — валидность логина проверяется сразу после его ввода. Если такого логина нет, то об этом сразу же сообщается и до ввода пароля дело не доходит. Тут я даже комментировать не буду.
А еще этот их Коннект где всему домену принудительно назначается список рассылки all@my_domain.tld. Ребят, вы серьёзно? Т.е. если ты фишер, то раньше тебе надо было узнать адреса, а теперь ты в тупую можешь парсить DNS на предмет поиска доменов с MX на Яндексе и рассылать письма на all@.
Я им писал тоже про это, мол что вы творите-то? В ответ — да, мы приняли, подумаем над этим (год уже прошёл).
Не совсем так. Я согласен, что в системах с открытой регистрацией логин можно узнать через регистрацию. Но Яндекс таковой системой является лишь отчасти. Вспомните уже упомянутый Коннект — там логины имеют вид login@my_domain.tld. И существование логина из пространства @my_domain.tld через открытую регистрацию проверить нельзя. Зато можно теперь проверить через форму логина. Я конечно надеюсь, что там есть хотя бы защита от тупого брута.
Впрочем касаемо Коннекта я уже написал, что пакости слать можно сразу на all@my_domain.tld и с вероятностью 99% это получат все имеющие адрес в данном домене (1% оставим на тех кто поменял этот адрес при переезде с Яндекс.ПДД — единственный момент когда это можно было сделать). Но если же ваша атака более избирательна, то вот пожалуйста — готовый инструмент для проверки адресов имеется. И кстати еще можно узнать является ли уже известный адрес реальным почтовым ящиком или списком рассылки.
Если всё это кажется не убедительным, то вот сценарий который я сейчас придумал за 3 сек (основываясь впрочем на опыте из жизни). Скажем вы хотите посредством почты применить социальную инженерию к бухгалтеру Марине Ивановой из компании Ромашка (все совпадения конечно случайны), которая там единственный бухгалтер. При этом не желательно, что бы ваши письма попали другим сотрудникам, дабы не спалиться раньше времени. Из DNS вы узнали, что почта домена romashka.tld хостится на Яндексе. Какая удача! Вы начинаете пробивать адреса: marina.ivanova@romashka.tld, m.ivanova@romashka.tld… нет ничего… а ну ка… marina@romashka.tld. Тоже нет! И тут вы вспоминаете, что на сайте у них указан е-мейл бухгалтерии — buh@romashka.tld. Весьма вероятно, что это и есть адрес Марины, ведь она там единственный бухгалтер. Однако кто его знает — вдруг это список рассылки и входящие на этот адрес читает еще и директор? Пробуем логинится под buh@romashka.tld и у нас спрашивают пароль — значит это реальный почтовый ящик, и вероятно это ящик именно бухгалтера Марины (в случае если buh@romashka.tld является списком рассылки Яндекс скажет, что такого логина не существует).
В общем насколько это всё критично или не очень пусть каждый сам решает. Однако такое отношение к ИБ со стороны крупной ИТ-компании мягко говоря удивляет.
Впрочем касаемо Коннекта я уже написал, что пакости слать можно сразу на all@my_domain.tld и с вероятностью 99% это получат все имеющие адрес в данном домене (1% оставим на тех кто поменял этот адрес при переезде с Яндекс.ПДД — единственный момент когда это можно было сделать). Но если же ваша атака более избирательна, то вот пожалуйста — готовый инструмент для проверки адресов имеется. И кстати еще можно узнать является ли уже известный адрес реальным почтовым ящиком или списком рассылки.
Если всё это кажется не убедительным, то вот сценарий который я сейчас придумал за 3 сек (основываясь впрочем на опыте из жизни). Скажем вы хотите посредством почты применить социальную инженерию к бухгалтеру Марине Ивановой из компании Ромашка (все совпадения конечно случайны), которая там единственный бухгалтер. При этом не желательно, что бы ваши письма попали другим сотрудникам, дабы не спалиться раньше времени. Из DNS вы узнали, что почта домена romashka.tld хостится на Яндексе. Какая удача! Вы начинаете пробивать адреса: marina.ivanova@romashka.tld, m.ivanova@romashka.tld… нет ничего… а ну ка… marina@romashka.tld. Тоже нет! И тут вы вспоминаете, что на сайте у них указан е-мейл бухгалтерии — buh@romashka.tld. Весьма вероятно, что это и есть адрес Марины, ведь она там единственный бухгалтер. Однако кто его знает — вдруг это список рассылки и входящие на этот адрес читает еще и директор? Пробуем логинится под buh@romashka.tld и у нас спрашивают пароль — значит это реальный почтовый ящик, и вероятно это ящик именно бухгалтера Марины (в случае если buh@romashka.tld является списком рассылки Яндекс скажет, что такого логина не существует).
В общем насколько это всё критично или не очень пусть каждый сам решает. Однако такое отношение к ИБ со стороны крупной ИТ-компании мягко говоря удивляет.
Есть еще вот такая не баг а фича Яндекса.
https://habr.com/ru/post/357410/
Работала месяцев 7 назад, с того момента не проверял, но что-то подсказывает...
Это из серии:
«Мыши плакали, кололись, но продолжали грызть кактус»
Правильно написал выше 1c80, если нужна нормальная почта, то владей собственной.
«Мыши плакали, кололись, но продолжали грызть кактус»
Правильно написал выше 1c80, если нужна нормальная почта, то владей собственной.
Все как обычно или удобство или безопасность… думаю что отключение сделают со временем…
На airbnb тоже так.
Так а что такого? Это бывает на самом деле удобно. А если нужна безопасность, включайте 2fa, юзайте protonmail или свой сервер, и разлогинивайтесь когда отходите от рабочего места. Яндекс тут точно не добавляет проблем.
protonmail себя скомпрометировал уже к сожалению… с ркн дружат
Разве подтверждение нужно не с другого устройства?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Спорное новшество от Яндекса — вход в аккаунт через письмо