Как стать автором
Обновить

Комментарии 75

С таким же успехом можно подсматривать как человек набирает пароль на клавиатуре ;D
И как раз двухфакторная аутентификация могла бы от этого защищать :)
Подсмотреть можно и код из Google Authenticator, например. Но перехватить QR код со страницы, используя какой-нибудь троян можно, вкупе с кейлоггером есть возможность произвести атаку.
С трояном и кейлоггером можно сразу сессионную куку перехватывать. Чего лишнюю возню разводить?
С паяльником или утюгом можно перехватить текст письмо до его набора на компьютере.
Ну и к тому же это гораздо проще — подсматривать можно издалека и за спиной, как если бы пароль не закрывался звездочками при вводе.
Так в этом и суть что никакой кейлоггер уже не поможет — нужно еще и мобильник хакать. А тут достаточно удаленного доступа к машине
Просто дождаться авторизации и посмотреть вместе с ним его почту.
Не у человека, который набирает привычный пароль вслепую за полторы секунды.
У секретарши в универе пароль был цифр из 30. Мы всё время смотрели как она набирает и пытались запомнить, но обычно сбивались не доходя до конца.
НЛО прилетело и опубликовало эту надпись здесь
Но очевижно же, что там скажут, что это известная проблема.
НЛО прилетело и опубликовало эту надпись здесь
"… ему бы так и не ответили."
НЛО прилетело и опубликовало эту надпись здесь
Не беспокойтесь, тут так принято :)
Смотря, что вы имеете ввиду под «у нас». Бьюсь 4 месяца с проблемой Яндекс почты для домена.
Тикет #14111319452084437
Ответ пришел спустя два месяца. Не знаю, правда, считается ли два месяца вакуума «неответом». Стоит ли говорить, что ответ ситуацию не поменял.
Добрый день! Насколько я вижу, в указанном тикете велась активная переписка, то есть уже нельзя его отнести к неотвеченным. Но в какой-то момент и правда случилось взаимное непонимание ситуации. Пришлите мне личным сообщением, пожалуйста, свежий лог отправки писем, где будут видны временные отказы 451. Проверьте также, пожалуйста, что Ваш отправляющий сервер корректно передаёт параметр To при общении с нашим сервером. Из-за ошибки адрес может считаться несуществующим, например, и тогда сервер будет производить попытку отправить его на адрес по умолчанию для несуществующих адресов. А на такие адреса действительно постоянно очень большой поток входящих писем, потому что валится много спама.
к слову, на тикет #11120920003398267 нет ответа больше трёх лет, а на тикет #201001159022687 — больше пяти лет :)
На оба тикета были даны ответы. На один — в течение суток, на другой — в течение двух. По обоим проблемам были созданы задачи на исправление. Если Вы проверите описываемые Вами ситуации, то можно убедиться, что изменения в Яндекс.Картах уже были произведены, маршруты строятся так, как Вы хотели. Признаю, наша вина в том, что не оповестили о починке — ребята из Карт работают над этим. Но Вы же, наверное, уже заметили её, если пользуетесь этими маршрутами?
То, что я получил, ответом назвать нельзя. Автоматическое сообщение вида: «Спасибо за информацию, мы её обязательно проверим...» ответом не считается. Этими маршрутами я действительно какое-то время назад пользовался регулярно, но я перестал их строить с помощью яндекс.карт, так как они делали это неправильно. Примерно через 3-4 месяца после этих сообщений я проверил каждый и да, ошибки были исправлены, но мне об этом не было сообщено. Более того, я не нашёл (может быть, у меня просто не хватило прав на просмотр?) ответов на эти тикеты в вашем трекере. Предлагаю перенести дальнейшее обсуждение этого оффтопика, если оно будет, в другое место, на ваш выбор.
"… ему бы так и не ответили."

Справедливости ради замечу, что мне ответили довольно оперативно.
Добрый день, я являюсь руководителем конкурса «Охота за ошибками».
В наших интересах, чтобы им пользовалось как можно больше исследователей безопасности. По нашей статистике количество случаев, когда в короткий промежуток времени о серьезной уязвимости сообщало больше одного пользователя, крайне мало.
Если у вас есть конкретные примеры, то изложите их, пожалуйста, здесь либо письмом.
Вот я бы хотел что-нибудь отправить, но в процессе нашел баг в вашей собиралке багов.
При заходе на yandex.ru/bugbounty меня редиректит куда-то в космос:
image
Добрый день! Напишите нам, пожалуйста, подробности через форму обратной связи конкурса feedback2.yandex.ru/bugbounty
У меня, кстати, часто такое на различных сервисах Яндекса, где я авторизован. Писал в поддержку, но мы так и не смогли докопаться до истины.
НЛО прилетело и опубликовало эту надпись здесь
«Мы да, знаем… Но мы выплатили бы...»
Занятно.
Знаем? Исправим?

Эти два слова совершенно не вяжутся в одном предложении про безопасность.
Если вы сами знали о проблеме, и осознанно решили отложить исправление, то это кромешный ад.

АД
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Мы не придираемся к словам, нет :-)

Да, исправление после этого поста произошло очень оперативно! Тут разработчики Яндекса молодцы, вопрсов нет.

В 23:16 появился пост, через полтора часа (ночью) появился комментарий «исправили». Это здорово и оперативно.
А сейчас что мешает?
ну так возьмите и выплатите ;-)
Почему бы и сейчас не выплатить?
Вот например TopFace связались с пользовательем форума который у них нашел баг и выплатили ему премию за нахождение бага уже после сообщения на форуме.
Если б вы написали в bugbounty, мы бы были рады выплатить приз.


Если вы помните, то это я сообщил вам про эту уязвимость тут habrahabr.ru/company/yandex/blog/249547/#comment_8261973.
Запостил на bugbounty. Жду приз.
Кажется, весь смысл bugbounty в том, чтобы не объявлять о таких ошибках публично (и зарабатывать карму), а писать им лично (и зарабатывать доллары).
Если б вы написали в bugbounty, мы бы были рады выплатить приз.

Я лишь воспользовался советом ivlad. Мне, в принципе, ни то, ни другое не нужно, но хоть бы упомянули для порядка.
Забавно. Особенно после вчерашнего поста яндекса с рекламно-надежной картинкой сейфа. Видимо завтра бакенд яндекса будет хранить в хеш-таблице сгенеренный post-ID для каждого показанного QR-кода
Т.е. ДВУХфакторная авторизация не предполагает ввода пароля? Забавно…
пароль тут — пин-код в приложении

«вы задаёте в приложении четырёхзначный пин-код. Этот код станет одним из факторов, частью «секрета», на основе которого алгоритм будет создавать одноразовые пароли. Второй фактор хранится в смартфоне»
Только в случае телефона с TouchID вторым фактором вместо пин-кода становится палец владельца, так что теперь будет очень легко воспользоваться айфоном подвыпившего уставшего коллеги, чтобы зайти в его аккаунт, не зная пароль.
НЛО прилетело и опубликовало эту надпись здесь
Ну тогда ведь должны знать, и как их обычно решают, вводя, как и в случае пароля, какой-то второй фактор. Т.е. биометрия вместе с паролем работают приемлемо, а вот биометрия вместо пароля при отсутствии физического контроля — сомнительно. Тут ведь проблема не столько с биометрией, сколько вообще с ситуацией потери контроля над телефоном, на который вы собрали оба фактора.

Кстати, и если я правильно представляю, как была решена проблема (поскольку вряд ли за тот час, что все исправлялось, можно было радикально перелопатить архитектуру), запросы от браузера действительно идут по открытому http, в случае перехвата которого атаку опять можно будет воспроизвести, добавив во взламывающее приложение функциональность wireshark (понятно, что времени на это уйдет еще больше и успеть будет сложнее)?
НЛО прилетело и опубликовало эту надпись здесь
Ну понятно, я это и имел в виду. Насчет http уточнил, поскольку из первоначального поста это было не очевидно.

С TouchID, конечно, вопрос религиозный.
Ну, если человек получит доступ к телефону подвыпившего коллеги, то это же совсем другая проблема. И неважно как он получит доступ — зная пароль, пин-код или приложив палец.
Вообще-то очень даже важно — палец вон он, лежит вместе с коллегой, а пин/пароль из его головы не вытащить.
Не хотел бы я таких коллег иметь, которые только и ждут момента что бы я напился, что бы воспользоваться моими телефоном.
То есть пользователь должен ввести ПИН-код, чтобы открыть приложение на смартфоне? Согласен, тогда появляется второй фактор (если конечно ПИН запрашивается для каждого нового входа, иначе воспользоваться чужим телефоном в отсутсвии хозяина даже проще, чем узнать его пароль). Но тогда каким образом автор этой статьи сумел обойти ввод пин-кода?
ПИН запрашивается даже перед каждой авторизацией.
Вообще, отдельное приложение для Яндекс-сервисов — это главная причина, почему я не буду пользоваться Яндекс.Ключом. Зачем мне ещё одно приложение, которое не поддерживает общепринятый стандарт, когда в приложении Google Auth я могу генерировать коды и для гугла и для Facebook и для Dropbox и прочего и прочего?
Ему не нужен был ввод ПИН-кода — ему нужен был только track_id (который он получал из QR), получив который он начинал делать те же самые запросы, которые делал JS у юзера в браузере.
Странно, мне показалось, что весь смысл этой разработки именно в привязке к устройству, к его ID?
Теряете телефон, прощай почта? Привязка к вашему номеру телефона
НЛО прилетело и опубликовало эту надпись здесь
друзья ничего не замечали и очень удивлялись этому фокусу, когда я им показывал их почту на своем телефоне.

Умеете вы, сударь, друзей развлекать.
Просто из любопытства. Если добавим проверку, чтоб IP отправителя PIN и QR-кода совпали, то это не поможет?
В сценарии с официантом — нет, ведь пользователь может быть подключен к точке доступа в кафе.
Никто так и не сделал двуфакторки с защитой от ниндзя.
Как-то не понятно. Вы бы хоть ссылку оставили на анонс этой самой «двухфакторной» авторизации. Судя по описанию в этой статье, она никакая не двухфакторная, раз имея доступ ко всего одному девайсу можно пройти авторизацию.
Что-то я включил эту «двухфакторную» авторизацию и почувствовал себя гораздо менее защищенным, если раньше я вбивал пароль 20 символов со спец-знаками, то теперь я вбиваю лишь простой пинкод из 4 цифр.

Почему бы не сделать вариант «двухфаторная авторизация для гиков»? Поверьте, мы не обломаемся ввести дополнительно и пароль и пин-код с смс-ки, тем более все это уже давным давно написано, никакой велосипед придумывать не надо.

P.S. приложение кстати не хотело меня авторизовывать через QR-код, постоянно писало ошибку, через пароль тоже не хотело одноразовый, и только после того как я попытался авторизоваться с главной страницы — заработало.
НЛО прилетело и опубликовало эту надпись здесь
Зачем он вообще нужен?
Пин-код намного проще подсмотреть и запомнить, чем длинный пароль.
НЛО прилетело и опубликовало эту надпись здесь
Какой TouchId на андроиде?
Так первый фактор должен быть пароль в основном браузере, нет?
А зачем вам пароль в 20 символов? Считаете что пароль в 10 символов недостаточно надёжен? А почему, сможете подробнее объяснить?
Ждем, когда Яндекс создаст табличку соответствия ID из QR-кода ID из куки.
И тем самым пофиксит данное недоразумение.
НЛО прилетело и опубликовало эту надпись здесь
не обратил внимание на дату поста
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Публикации

Истории