Как стать автором
Обновить

Безопасная небезопасная почта от bigmir)net

Время на прочтение2 мин
Количество просмотров18K
Не знаю баг это или фича, но почта от bigmir)net страдает как минимум одним очень существенным недостатком — из неё очень сложно разлогиниться. После нажатия кнопки «Выйти», мы действительно выходим из почты, и попадаем на главную портала. Пользователю кажется, что он вышел из своей почты, он спокойно встает из-за компьютера, рассчитывается с оператором и выходит из интернет салона. В это время он мог бы считать, что почты у него больше нет. Если бы знал.

Для тестирования был зарегистрирован тестовый почтовый ящик testbigmirid@bigmir.net с паролем testbigmirid, и определены следующие браузеры: Firefox, Opera, Google Chrome и IE9.

Следует заметить, что почту, с определенного времени, bigmir перевел на движок Google Mail. Но то, о чём я буду писать ниже не вина Gmail.

В Opera, Google Chrome и IE9 после нажатия «Выйти» нас (кажется) разлогинивает и выбрасывает на главную портала. Но при этом простой переход по ссылке mail.bigmir.net делает 3-4 переадресации и опять открывает почтовый ящик, на этот раз уже не спрашивая пароля. После закрытия браузера такой метод уже не срабатывает. Вроде бы не страшно.

Но в случае с Firefox всё страшнее — даже после закрытия и повторного открытия браузера, всё равно можно попасть в почтовый ящик без ввода пароля.

За вход в почту с портала отвечают две куки:
image

Firecookie утверждает, что длительность их жизни «Сессия».
Но в Firefox понятия «сессия» немного не такое, как во всех остальных браузерах. Вот небольшая цитата с bugzilla.mozilla.org:
This happens because session-restore saves session cookies (hence the name). It's by design and known so I'm going to unhide the bug.

Таким образом, один раз залогинившись в почту через Mozilla Firefox, вы залогиниваетесь там навсегда.

Мне кажется, что это не вина Gmail (они то свои куки трут) и не вина Mozilla Firefox (session-restore действительно фича), а недосмотр разработчиков портала bigmir)net, ведь после нажатия кнопки «Выйти» действительно должен состояться выход из сессии почты, также должны удалиться все куки, которые отвечают за авторизацию. Я надеюсь, они читают Хабр, и примут меры, по защите почтовых ящиков своих пользователей, а пока что я бы порекомендовал не пользоваться этой почтой, от греха подальше. Кто знает, какие там сюрпризы припрятаны ещё?

Будьте осторожны, и всегда подтирайте куки за собой.

PS При регистрации нового почтового ящика, bigmir)net почему-то решил, что я родился 30 ноября 1999 года. Я не стал с ним спорить.

upd очень похоже на то, что ребята с bigmir)net таки читают Хабр и ошибку поправили.
печально только то, что письмо в саппорт осталось без ответа.
Теги:
Хабы:
Всего голосов 29: ↑22 и ↓7+15
Комментарии27

Публикации

Истории

Работа

Ближайшие события

15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань