Комментарии 34
Мда вот это открытие. Зачем это вообще запрещать? Если кто-то сильно захочет может сколько угодно разных почт зарегать без всяких плюсов.
Все же неограниченное количество почт сложнее зарегистрировать. В РФ разве еще остались сервисы, которые разрешают завести почту без номера телефона? Яндекс и mail.ru требуют обязательно. Gmail пока условно разрешает, но там тоже есть сложности.
В РФ разве еще остались сервисы, которые разрешают завести почту без номера телефона?
self-hosted? 100 р\мес статичный IP, 50 р\мес DNS-запись третьего уровня (мой провайдер предоставляет). Да, домены будут user@test1.porv.ru, user@test2.porv.ru и т.д., да, без ptr, но нам же только на прием нунь.
mail.ru и gmail без всяких новых регистраций позволяет создавать алиасы на существующий ящик. У меня, например, ящик один, но письма туда падают с Ф.И@mail.ru, И.Ф@mail.ru,телефон@mail.ru и, с созданного еще во времена LA C3 nagibator2000@mail.ru. Кстати, в одном нищебродском стартапе так корпоративную почту завели - ящик один, но аласов на всю команду. В итоге расходов на 4$ (или сколько там gmail для домена стоит), а на визитках все уникально.
Предположу, что в коде Хабра или библиотек которые он использует или других их проектов, в некоторых местах все эти почты +ХХХ могут нормализоваться к одному виду без суффикса и это может привести к проблемам - работа с одним акком переходит в работу с другим.
Такой способ вполне легально практикуется для создания десятков и сотен аккаунтов персонажей в разных MMO-играх, при этом достаточно завести лишь один "родительский" почтовый ящик.
Пример с mail.ru не в тему - они не запрещают регистрацию со сторонней почтой с плюсом, а запрещают создание нового адреса почты с плюсом, что совершенно логично.
Свой домен, хостинг, на котором создаются синонимы для разных сайтов и одного почтового ящика.
Лет 15 использую.
На своём личном домене даже алиасы не надо создавать вручную, один раз настраивается catch-all address.
Много кого поймали?
Самое интересное,что я продолжаю получать спам на старые адреса gmail, но ни одной явной утечки адресов моего домена не было
Не скажу что список большой, но есть.
Все кто были в списках утечек, Сдэк, Гемотест и пр.
Tidal, Onlinetrade, какие то аптеки. Всех уже не помню.
Самих писем был немного, видимо хостер справлялся в какой то момент.
Но бал сам факт, что приходили спам письма по конкретным синонимам.
За, примерно 15 лет, синонимов наверно больше 100 накопилось..)
Фишка старая, но на практике все нужные мне сайты не давали использовать почту с "+"
Спасибо за напоминалку, такой способ реально полезен для идентификации «сливаторов»
Ряд сервисов, https://2pmi.org например, изначально такую возможность закладывают. Там адрес имеет вид anytext_2xwzx4o@2pmi.org и все что перед подчеркиванием можно заменить на идентификатор отправителя.
В gmail еще можно сколько угодно "точек" ставить в адресе между символами до @ )
Почему это вдруг стало багом?
А откуда слив данных-то был? А заголовок выглядит так, будто Хабр слил ПД.
А у спамеров с их опытом не хватает интеллекта почистить после плюcа?
Вы регистрируетесь на сайте с адресом, например, andrew.andreev.99+github@mail.ru.
Но реально именно такого адреса у вас нет. У вас есть только andrew.andreev.99@mail.ru.
Когда сайт будет отправлять письмо andrew.andreev.99+github@mail.ru, то символы +github будут просто выкинуты, и письмо пойдет на andrew.andreev.99@mail.ru. А в поле "Получатель" действительно будет показан несуществующий адрес с "+github". Но это на реальный адрес получателя никак не влияет.
Если github «сольет» кому-то ваши данные, то спам будет отправляться на andrew.andreev.99+github@mail.ru (а приходить на andrew.andreev.99@mail.ru) и вы запросто поймете, откуда у спамеров появились ваши данные.
То есть данные которые вы указали в своем профиле на сайте, оказались видны, хотя в настройках вы установили "Скрывать почтовый адрес, и интимное фото". По крайней мере засветился адрес почты.
Таким образом, с одной почты можно создать неограниченное количество аккаунтов, из-за того что ресурс не понимает, что "+" и всё, что идет после него в поле email — это комментарий.
Да, это явный косяк движка регистрации Хабра. Не достаточно просто побуквенно сравнивать.
Как это исправить?
Исправить движок регистрации на Хабре.
Некоторые ресурсы для устранения вышеописанной «фичи» запрещают использовать знак "+" в поле email (например, mail.ru).
При регистрации почтового ящика - запрещают. Реально ящик с таким именем создать не получится.
От показа в поле "Получатель" кривого адреса это не защитит, если в письме при отправке именно такой кривой адрес был указан. Почтовый протокол исправит кривой адрес при определении адресата, но не исправит текст в поле "Получатель".
В разгаре беседы «господа из техподдержки компании N» назвали мои новые паспортные данные!
А на каком сайте вы указали свои паспортные данные, если не секрет? А то когда начинаешь читать статью, возникает впечатление что данные утекли из вашего профиля на Хабре, в котором вы зачем-то указали паспортные данные.
Меня mail.ru не пропустил на + содержащий адрес, ругнулся (host mxs.mail.ru[217.69.139.150] said: 550 spam message rejected), а в моем Postfix есть система разрешения адресов, не знакомым она откажет (recipient address rejected: User unknown in local recipient table ; from=... to=... proto=ESMTP). Подумал прикрутить редирект по маске, но это лишнее, просто по логам смотреть, куда летели письма, сами письма все равно не нужны. Так можно интересную статистику набрать, мне кажется:
cat /var/log/mail.log | grep '@otest.ru>: Recipient address rejected: User unknown in local '
А ещё можно настроить редиректы. Тогда можно использовать какую угодно почту в рамках одного домена. Так что исправление "бага" с + выглядит сомнительным с бизнесовой точки зрения.
Существует https://simplelogin.io/ и аналоги, которые позволяют не только просто создавать мейл алиасы в неограниченном количестве, но и управлять ими, например, выключить пересылку имейлов и не читать спам и включать, когда нужно какой-то имейл с кодом получить. "Лайфхак" с плюсом давно известен и также известно, что не только лишь все работают по RFC и оно регулярно боком выходит. А ещё спамеры тоже RFC читают.
Я бы советовал купить свой домен и базовый хостинг. Стоит копейки, да и объемы обычно 7-15ГБ в придачу на самом минимальном тарифе.
Настроить любое количество ящиков, с вашими любимыми логинами.
К каждому ящику, можно наделать бесконечное количество синонимов.
И просто забыть о них. В случае спама на эти синонимы - удалить/переименовать/восстановить.
А еще удобство в том, что не нужны никакие данные для этих ящиков, номер телефона и прочие "прелести"" сегодняшних веяний. И никому потом не надо доказывать что это твой ящик/аккаунт.
Так же с сервером идет и редирект/сортировщик и прочее. Можно настроить WEB доступ вида: mail.yourdomain.ru (правда не все дают такую возможность.)
Длинный email и точки, для сервиса1 a.bcdefg@gmail.com, для сервиса2 ab.cdefg@gmail.com . Точку чистить сложно, потому что массово используется.
Как это исправить?
Некоторые ресурсы для устранения вышеописанной «фичи» запрещают использовать знак "+" в поле email (например, mail.ru). Это, наверное, самый простой способ устранения проблемы.
Хакер в столовой. Нассал во все солонки и улетел.
но в результате мы улучшили механизм проверки почты — символ “+” в адресе почты стал снова доступен. Теперь его можно указать при регистрации
А команде Хабра респектище за нормализацию адресов и уважение к продвинутым пользователям.
Ну так кто же слил ваши новые паспортные данные?
Про фишку с плюсом в почтовом адресе на хабре уже писали, можно было просто дать ссылку на статью и продолжить свой рассказ о том, при чём тут вообще хабр, если он не запрашивает номер паспорта.
Блог компании Positive Technologies
можете подписаться на мой авторский Telegram-канал!
Дожили, уже и блогах компаний телеграммная инфоциганщина.
Как это исправить?
Это не нужно испрвлять, это не баг, а часть стандарта.
Как уязвимость мы это не оценили бы – тут нет «кражи данных» или типа того, максимум для спама можно использовать.
Уязвимость тут в свободной регистрации, а не по инвайтам или через песочницу. Но это совы-эффективные менеджеры предпочитают не замечать.
И даже когда Хабрахабр окончательно захлебнётся в потоках LLM-мусора они продолжат рожать слизней, делать редизайны и изобретать другие гениальные способы пробития дна.
Давайте в комментариях делиться идеями, как бы вы устранили проблему, если бы были разработчиком подобного ресурса
Что-то много призывов «давайте все встанем в хоровод и позовём Дедушку Мороза» в копростатьях на Хабрахабре стало. Попахивает БЯМ-ом.
А проблемы нет.
Любой желающий может получить бесконечное количество адресов электронной почты. Если вашему сайту может от этого поплохеть, то виноваты в этом не адреса почты.
Я страшно удивился скорости утечки нового паспорта и стало интересно: кто же был источником слива? Тогда я нашел лайфхак, который помогает с высокой вероятностью выяснить, откуда произошла утечка (пользуюсь им и по сей день).
Так каким образом + помог понять источник утечки? Мошенники в целях сверки ПД назвали адрес с + или как-то еще?
Наверное все знают, но может и нет. Ужа довольно-таки давно у Apple есть Hide My Email функция. Очень удобно использовать для всяких сайтов-однодневок и иже с ними.
так что же, техподдержка хабра слила паспортные данные, или опять какая то сова на глобусе?
Вы пытались создать копию почты на почте, для чего? что бы копия почты с "+" существовала, но при этом сообщения перенаправлялись на оригинал, или что бы убедиться не сливает ли mail.ru вашу же почту?
Кстати сотрудники хабра надо было сделать так, что бы в почте при нахождении "+" надо было не запрещать регистрироваться с "+" а прикреплять их к оригиналу, если будет спам от копии то банить все копии с оригиналом. А то вдруг я не доверяю Хабру и создаю свой первый аккаунт регистрируя с "+"
Хабр без ограничений: Магия «плюса» в адресе почты