Как стать автором
Обновить

Комментарии 136

Как-будто бы не дописали статью до конца?
… весьма интересных. Логин: и Пароль: — у последнего смотрим значение параметра value…

Просто предположил. Не проверял.
Я тут поближе к началу напишу, что проблема исправлена, ладно?

Спасибо.
В смысле, проблема, которой посвящена статья =)
Проблема в ДНК ;-)
У кого?
Предлагаю теперь всем писать не в техподдержку Яндекса, а сразу на Хабр. Так быстрей до нужных людей доходить будет.
Вряд ли это разумно.
Зато как действенно!
Ну я какбе догадываюсь что там пароль хранится в незашифрованном виде
Но показывать то его зачем? :)
Под «там» я имел ввиду в самой странице (ну и как следствие в базе), просто изначально статья попала в обрезанном виде (не полностью), и мы строили предположение на что автор намекал
Сейчас разметочку поправим, будьте снисходительны пожалуйста!
Не нужно минусовать хабровчанина, он был прав. Потом мы поправили разметку статьи.
Интересно, а в Яндекс Вы (или jeditobe) сообщили об этом?
Еще несколько лет назад, когда впервые обнаружил, получил от них автоматический ответ и дальше дело не пошло.
Вот так всегда :(
Аналогичная ситуация с найденными неточностями, отправлял в свое время пачками. Ни разу не ответили, не исправили, и не сказали спасибо.
А мне отвечали всегда… Интересно, какой алгоритм выборки писем для ответа?
Да, тоже интересно. Хотя… интересно было, сейчас уже не охото делать каких-либо движений в эту сторону даже.
Я сообщал. «Благодарим за письмо. Мы обязательно передадим Ваши пожелания разработчикам.» Это не автоматический ответ. Апрель 2008-го. Никаких подвижек.
Мне кажется, что доверять таким образом одному сервису- нецелесообразно, по описанным в статье причинам. Проще настроить на каждом почтовом ящике, который необходимо мониторить, форвардинг писем на необходимый адрес. Таким образом, пароли от ящиков остаются известными только вам.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Например, рабочая почта, форвардинг которой невозможен по каким-либо причинам.
НЛО прилетело и опубликовало эту надпись здесь
А по мне, так возможен. Знаете, не все работают с коммерческой и государственной тайной.
например я 3 года не знал других сервисов и везде оставлял свой адрес, а теперь заставляет пользоваться только то, что у многих он сохранился.

я за всю жизнь реально пользовался только двумя ящиками. gmail тянет почту с первого, потому-что первый не умеет перессылку.
Интересно а как можно организовать сбор почты с других ящиков?
ТОЛЬКО зная пароль от них.
А что бы не перехватили пароль при настройке через WEB — пользуйтесь https
В gmail есть такая опция в настройках :)
Понятно что надо знать пароль, но это не значит что его нужно показывать
Не нужно показывать пароль человеку который его-же и вводил?
Или в случае угона Мастер-Ящика нельзя будет злоумышленику «напомнить пароль» на Подчинённых-Ящиках?
В интерфейсе он и так не показывается.
Вы плохо читали статью. Его вообще на клиента вытягивать не надо. А так он приходит на клиентскую машину для того, чтобы вместо него нарисовались звёздочки. Защита от дурака. Да ещё и просто http.
Да, я это понял :)
В интерфейсе он и так не показывается, вместо уже присланного пароля показываются звёздочки, с помощью параметра type=«password». Но в интерфейсе он таки не виден…
Если человек его вводил, то он должен его знать. Для напоминания есть сервисы «забытый пароль». Здесь же существует опасность, что пароль смогут узнать люди, которые его не вводили =)
Это здраво. Наполовину согласен.
НО:
1. забытый пароль и для злоумышленника сработает
2. хозяину проще же так посмотреть
Вы не правы
Допустим у меня есть ящик на яндексе и я собираю почту с ящика на mail.ru (а может и нескольких)

Злоумышленник проник в мой ящик яндекса и зайдя в настройки импорта получает совершенно свободно пароли от ВСЕХ моих mail ящиков.

Как должно быть: мой ящик на яндексе взломан, но пароли от импорта можно только сменить а не увидеть. Максимум что сможет сделать злоумышленник это попытаться подобрать пароль от этих ящиков (вдруг он совпадает с яндексом) или попробовать использовать функцию восстановления пароля на самом mail.ru, но это уже дополнительная проблема — ведь надо ответить на секретный вопрос и т.д.
Согласен — так безопаснее
Конечно нет. Это одно из базовых правил безопасности
бля, учите матчасть.
Яндекс использует для этих страниц http://

В исходном коде всплывающего окна вся информация о настраиваемой учетной записи.
Это и есть единственная промашка — отсутствие принудительного https
А почему бы изначально присылать пользователю звездочки, а не полностью пароль? Он же все равно его не видит, без использования «извращенных» приемов
Это традиция графического режима и многозадачности.
Во многих консольных программах на ввод символа пароля даже не появляется звёздочка.
Мне кажется, весьма полезная традиция, если бы не она — пароль вообще можно было бы в бинокль подсмотреть…
Ну пароль и так можно в бинокль подсмотреть в момент ввода.
А натренированные люди наверно и просто подслушав шелест кнопок, уж проги то на это точно способны.
Ну а прочий TEMPEST и не такое позволяет :)
«Яндекс-Почта» SSL не любит. Во-первых, если не меняешь адрес руками на https://, вход идет по нешифрованному каналу. Во-вторых, вебовая почта по SSL глючит в «Сафари». В-третьих, нет шифрования для POP3, SMTP.
Особенно опасно пользоваться ящиками на яндексе всем у кого спутниковый интернет. Известные мне спутниковые провайдеры PlanetSky, SkyDSL и прочие вещают трафик который легко ловиться. Всем кому знаком термин «спутниковая рыбалка» прекрасно об этом знают.
В яблочко, вылавливал такие страницы пачками — позор Яндексу.
Почему не делают https для вебинтерфейса почты по дефолту? По моему проблема с сафари не должна повлиять на решение убрать SSL.
Да что там спутники. Сидя через вайфай в кафе, не знаешь, насколько пытлив местный админ.
То админ, а то тысячи «админов» по всему сегменту накрываемому спутником сидят и читают твои письма.
Вход всегда идёт по шифрованному каналу, если только он доступен.
https не решаешь проблему, а только усложнит работу взломщикам
Уже кое что.
Если вам зажать палец дверью или воспользоваться паяльником — то вы пароль скажете и так.
Конструктивно же — новый интерфейс (с которого вы тут просите переключиться), такой проблемы не имеет. Старым интерфейсом пользуется пренебрежимо малое количество пользователей.
Я не считаю это заметной и опасной уязвимостью (простите, но в большинстве случаев ваши пароли от POP3 и так ходят по интернету в открытом виде), но тем не менее в ближайшее время мы в старом интерфейсе эту недоработку устраним.
О полном переходе на https думаем — тут проблема не в том чтобы букву s добавить, а в том, чтобы более комплексно к проблемам безопасности пользователя на почте подойти и ради этого требуется заметное количество архитектурных изменений и доработок.
Спасибо.
Можно было бы страницу с настройками защить https. И это лазейка для злоумышленников, которые могут снифить трафик на «последней миле» (именно здесь самый высокий риск) или украсть пароль к мастер-ящику.

Ну и офтоп, старый интерфейс винрарный — самый экономичный по трафику и самый эргономичный. Кроме того, он гораздо реже глючит по сравнению с новым, сделанным чуть более чем полностью из AJAX
абсолютно согласен с вами.
2003 интерфейс наиболее удобный.

в службе поддержки мне сказали, что «В настоящее время поддержка классического интерфейса остановлена, т.к. выпущен новый и более современный интерфейс «Нео», созданный в том числе с учетом опыта разработки интерфейса «Классический» и пожеланий его пользователей.»
Мое пожелание закопать интерфейс «Нео» и добавить gzip сжатие классическому интерфейсу.
И вообще верните ссылку на Яндекс.Ленту ко мне в почту. «Подписки» никуда не годятся!
Чем не годятся?
Читать их неудобно, в отличие от старой ленты.
В чём именно заключаются неудобства?
У Я.Ленты была оригинальная эргономика — минимум ширины терялся на навигацию, очень удобно для работы (и развлечения) с сплошным потоком — читаешь скроллирушь подряд, а иконки-идентификаторы слева переключали контекст, используя только периферическое зрение.

Т.е. параллельно, для редко используемых фидов, или каналов, где шло много мусора (нужно просматривать только заголовки) я использовал гуглридер, а для удовольствия — Я.Ленту.

Подписки же выглядят ухудшенной копией гуглридера, и я попробовал вербализировать, почему они мне не нравятся: верстка ленты — свободный текст, не зарытый в отдельные блоки, с большим пространством, на котором отдыхает глаз (эргономике это не вредит, ибо по вертикали скроллировать можно быстро и удобно), а в Подписках — очень плотно расставленные блоки, ощущение тесноты, надо вчитываться (плюс еще разбирать что и от кого).

Ну, и чтобы два раза не вставать — просьба. Я понимаю, что Ленту заморозили, такие дела. Но меня ужасно напрягло, что после обьявленной заморозки, умирающую Ленту обвесили жуткими ссылками на ярушку, аки заброшенный сайт, превращаемый врагами рода человеческого (сеошниками), в линк-ферму.
Я взываю к вашей совести, пожалуйста, верните Ленту к прошлому состоянию, или (понимаю, что тяжело), сделайте ссылки отключаемыми специальной настройкой.
Спасибо! Подумаем и над объяснением, и над просьбой.
Просто верните Ленту! Верните Яндекс.WiFi
Хватит выдумывать велосипеды. Вы все портите!
Спасибо за истерику вместо ответа на мой вопрос.
Пожалуйста!

Зачем мне куча разных сортов мороженого, если я хочу просто советский пломбир в стаканчике? А он вроде как устарел, и поэтому его фиг найдешь.

Та же самая история и с Вашими сервисами. Вы думаете, что их улучшаете, а на самом деле…
А вот если бы вы ответили на мой вопрос, то мы бы смогли понять, чем вам нравится Лента и сохранить это.
Я ответил на него. Мне нравится лента абсолютно полностью в том виде, в каком она была. Со ссылкой из почты и количеством сообщений в том числе.

Подписки абсолютно не предоставляют того функционала, который предоставляла Лента, а именно возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS.
Чем Подписки отличаются от Ленты, что вам кажется, что они не предоставляют возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS?

В чём возникает напряг?
Тем, что вы оформили Подписки аля интерфейс Почты.
Все новые письма выделяются жирным. Это приемлемо когда у меня 5-10 новых писем за раз. Но совершенно не годится для сотен сообщений в день, собраных по RSS. Все заголовки набраны мелким жирным шрифтом, и ведь по ним еще нужно кликать, чтобы получить подробности!
Погодите, вы хотите сказать, что не видели в тулбаре кнопки «развернуть всё», которая делает раз и навсегда все сообщения развёрнутыми?
Не видел, потому, что она оказалась мне незаметна. Мне на каждой странице придется нажимать ее, что бы все развернуть.

Еще очень были удобны картинки-логотипы, указывающие на принадлежность новости определенному ресурсу.
Нет, не на каждой, один раз.

Над картинками мы думаем, да. Спасибо.
Обилие горизонтальных линий (черт) также снижает скорость чтения «по диагонали»
Скажем иначе
Отечественные компании типа mail.ru и yandex не имеют права делать https, так как товарищ майор не получит доступа — СОРМ пока SSl не умеет
Мне всегда интересно читать ваши комментарии, потому что они неизменно интригуют. Какую страну вы называете «отечеством»?
Палитесь, товарищ майор.
Уже «товарищ капитан» после этого коммента :-)
зачем сорму встраиваться посреди между пользователем и почтой и расшифровывать почтовый трафик если тот же яндекс и так им все выдаст по первому требованию в лучшем виде?
Потому что СОРМ так работает
Затем:
1. Меньше бюрократии — посмотрел и все, не надо оформлять доки.
2. Одно дело посмотреть — другое сфальсифицировать…
Логика сотрудников Яндекса всегда меня удивляла, а точнее её отсутствие. Откройте новый сервис parolchik.yandex.ru (навеяно словом fotki) и выкладывайте там логины/пароли всех пользователей, а в анонсе напишете:«Теперь вам нечего бояться, вас никто не будет пытать паяльником или прищемлять пальцы дверью, чтобы узнать пароль, потому что он опубликован на нашем новом сервисе»
Извините, конечно, но лично мне это напомнило недавнюю историю в духе МС:
«Да, проблема есть, да, ею можно воспользоваться, но выпускать критичное обновление мы не будем, т.к. это нарушает наш цикл выпуска обновлений».

Думаю, все помнят, что это вызвало и чем это закончилось. Так же можно вспомнить, что другой поставищик e-mail сервиса после случившегося тут же включил шифрование всего трафика для всех пользователей (при этом, шифрование странички аутентификации у них было включено и до этого инцидента.
о нет, не передергивайте, пожалуйста.
Мы готовим обновление (срочное) обозначенной проблемы и, как я написал выше, https — на подходе, но там все несколько серьезнее, чем просто букву s внедрить. Это вопрос недель, к сожалению.

Просто мы не обсуждаем. Мы делаем.
Недели идут, грабь@воруй!
Чтобы включить передачу трафика по https нужно несколько недель?
Боюсь, это сложно объяснить человеку «вне контекста» архитектуры сервиса.
Да, нужно несколько недель и достаточно заметные переделки — понять это, не понимая, как и что тут устроено — почти нереально. Простите.
Если кратко, то сам по себе https добавляет мало безопасности, если процесс логина происходит по https (а у нас именно так). Но, переработав некоторые элементы портальной авторизации и некоторые подходы к хранению и передаче данных, можно получить от внедрения https действительно большой профит.

Вот нам и хочется сделать не быструю отмазку, а реальную пользу.
Слава богу, что я не являюсь пользователем яндекса. Но если бы являлся — то после этого поста это был бы мой последний день его использования.
Почему, можете объяснить?
НЛО прилетело и опубликовало эту надпись здесь
тут дело не в идеальности сервиса а в отношении к клиентам
НЛО прилетело и опубликовало эту надпись здесь
Хочу защитить саппорт Яндекса. Они ответ на любое письмо об ошибке отвечают через несколько часов, если это небольшая проблема.

А месяц назад со мной произошел случай — в Гуглохроме ни с того ни с сего начала разваливаться верстка ЯндексоПочты (с разных компьютеров), о чем я и написал в саппорт. Через несколько дней пришел ответ — «Ваша проблема устранена?» с кодом ошибки. И проблемы больше не было.
НЛО прилетело и опубликовало эту надпись здесь
Перезалейте изображения.
Не открываются? Только что проверил, все в порядке.
Попробовал сейчас через «классический» интерфейс добавить ящик для сбора — не дает.
Может быть уже принимают меры? Попробуйте через Нео или Я.Онлайн
Владик Топалов в качестве пароля — это сильно
Этот пароль поставила себе наша виртуальная блондиночка Катюша, любые совпадения с реальными фактами случайны =)
Как минимум, у двух человек в мире «Влад Топалов» на паролях — это у вышеупомянутой Кати и у самого Влада Топалова.
надоели уже эти посты с припиской «у имярек нет кармы».
Нету — значит не заработал. Кончилась — сам виноват!
Пусть постит в персональный блог, или постите в профильный, но без перевода стрелок — подписались постить за другого, так и отгребайте (и плюсы, и минусы) за него.
«Пшшшшш…»
Да вы кипите, батенька.

И к сведению — при отрицательной карме постить нельзя. Вобще. Никуда.
Ну и замечательно, на кой тогда эта карма?
Кстати, наконец-то понял людей, которые видят преимущество в минусовой карме. Можно не задумываться особо о словам, принцип «кнута и пряника» в виде кармы уже почти не работает.

Единственное неудобство — что каментить можно, только раз в 5 минут, но и тут можно найти преимущства — можно писать более основательные каменты, или же что более полезно, больше времени обратить на работу. :)
Именно. Меньше задротства, больше жизни :)
пользуйтесь gmail, там везде https
Вот я и не пользуюсь нашими сервисами, потому что их представители вместо того, чтобы признать проблему и оперативно ее исправить, начинают размышлять о паяльниках.
После того как об этом рассказали чтобы все слышали, это может действительно стать проблемой :))
я помню мс пыталась запретить публиковать стороннии секьюрити бюллетени про винду с такой же формулировкой :)))
Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:
* чтобы пользователь пользовался classic-ом
* чтобы у него были настроены сброщики
* чтобы у злоумышленника был доступ к сниффингу траффика пользователя
* чтобы пользователь попал на страницу с CSRF, сконструированную злоумышленником

Мне кажется, это весьма редкое сочетание условий. Тем не менее, проблему мы исправили.
А как насчет XSS на Яндексе? Неужели нет?
И как наличие XSS (которые мы исправляем в день обнаружения, как правило) поможет проэксплуатировать ЭТУ проблему?
Через XSS (некоторые не исправлены много лет, и появляются новые) можно получить код любой страницы, к которой пользователь имеет доступ.
т.е. сначала парсим страницу
mail.yandex.ru/classic/setup_collectors
И выдергиваем оттуда адрес типа
mail.yandex.ru/classic/setup_collectors_edit?popid=2030000000000510249
После чего отправляем на любой хост исходный код этой страницы.
PS. Сам обнаружил у Вас в расширенном поиске пассивную XSS совершенно случайно, что говорить о дебрях. Прожила недели две вроде, точно не помню.
1. А какие XSS живут годами, если не секрет?

2. Да, вы правы. Но первые два пункта это не отменяет.
Первый пункт отменяет, но сборщики действительно должны быть.
Я не взломщик, а разработчик, не занимался целенаправленно поиском XSS.
Вот тут, например, почти каждое приложение содержит в себе XSS. Еще ошибки находил на buki.yandex.ru и других местах, их легче использовать, они с GET запросами, но я не сохранил их адресов.
Кстати на mail.ru тоже самое, что про них не написали?
Виноват Лебедев ;-)
Интересно сколько сейчас человек проверили почту katusha1986@inbox.ru паролем vladiktopalov?
А что, Яндекс лёг от хаброэффекта? :)
Скорее это должен был сделать mail.ru К.О.

Эх нужно было сделать пасхалку.
Проверять не надо — не работает. Проверил.
Лучше напишите ей письмо =)
Ну а мы, кстати, выкатили обновление, которое исправляет эту проблему.
Малодцы, оперативненько…
Я когда то на своей exit-ноде Tor-а много насобирал таких вот любителей проверять почту не через SSL. Любой логин по незашифрованному каналу — зло.
Логин в Яндексе осуществляется через SSL.
При использовании POP3, IMAP, SMTP пароль шифруется?
Да, на всех клиентских протоколах поддерживается TLS-авторизация, а пользоваться ей или нет — решает сам клиент, мы тут, к сожалению, за пользователя решить не можем.
Вынужден признать нашу ошибку — в help-е на скриншотах мы не отчекали галочки про то, что по-умолчанию людям рекомендуется ставить опцию «безопасная авторизация» — я уже попросил это поправить, в ближайшее время поменяем, спасибо, что обратили на это внимание.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории