Ограбление по-дилетантски-3 или те же яйца, только в профиль

[AddRemover]

чОрт, и где вы берете такие ацкие пароли?

[AddRemover]

подумал я, учитывая товарищей из «паролей» предыдущих двух серий.

[Jeditobe]

Реальные мальчишки и девчонки еще и не такие ставят!

[AddRemover]

Ну про школоту в курсе ;)
Но вы то, вы! Я ведь правильно понимаю, что все примеры — вымышленные?

[BarsMonster]

Что-то в коде не вижу паролей, вижу что браузер вставляет локально запомненный пароль (а его переть и так просто)…

[damnerd]

document.getElemenyById('id-password').value = 'l33t ha><0r';

[vvivan]

Ну хорошо, а что это там дает? Да, можно увидеть пароль, который вводит пользователь при вас… Не такая уж это большая уязвимость… Не вводите пароль при чужих людях, и всего делов. Или я чего-то не понимаю?

[dohlik]

Данный пароль «пришел» с сервера вместе с остальной частью страницы. Причем не в https, если я правильно понимаю.

[Jeditobe]

Конечно же https нет.

[sdvn]

Если передача шла не по SSL каналу, то значить пароль прошел в открытым текстом. И как следствие, злоумышленик — юный xakep может перехватить данные пароли.

[4dmonster]

В общем-то это проблема наследственная. В Оконных интерфейсах традиционно за звёздочками/кружочками «стояли» символы паролей, собственно на это и рассчитаны большинство програм-показывалок сохраннёных паролей. Я пользовался такими что-бы вспомнить пароли оутглюк-экспресса.
Тут концептуальная уязвимость воспроизведена в инете, что делает её применимее.
Может надо поступать в традициях консольных программ — ввод пароля никак себя не проявляет.

Только учесть при правке учётки — что если пароль пуст — значит остаётся старый пароль.

[Jeditobe]

Одно дело локальное приложение, другое — сетевое!

Золотое правило безопасности в сети — пароли назад выдаче не подлежат, ни в каком виде.

[Nc_Soft]

иначе и быть не может, если хранится не пароль, а хэш

[j1nn]

по-хорошему, сервер и знать эти пароли не должен… запоминаем хеш, при вводе делаем тем же образом хеш и сравниваем с запомненным.
все сайты, присылающие старый пароль на мейл, вызывают у меня оторопь и недоверие.

[j1nn]

опять забыла рефрешнуть перед написанием коммента :\

[rdolgov]

я работаю в небольшом ISP поверьте примерно 5% юзеров не в состоянии вообще ввести пароль.
15% в состоянии, но если нажат капс или не та расскладка, то ппц паника возникает. О каком «ввод пароля никак себя не проявляет» вы говорите? Яндекс почта для народа, а народ застрелится от такой хренатени.

[dewil]

подтверждаю.
и очень часто путают схожие по написанию знаки:
l и 1
o и 0
e и l (в некоторых шрифтах, если пароль написан курсивом)

[dohlik]

Тогда уж пусть браузер запоминает пароли (только надо мастер-пароль сделать)

[betal]

Как я писал раньше можно было получить пароль используя xss, посмотрю насколько тут реально.

[betal]

Они меня добивают, на этом яндексе, все проще. Щелкаем пр.кн.мыши и открываем в новой вкладке. Смотрим код страницы. XSS действует так же.

[harm]

Не ругайте Яндекс, он хороший, там ребятки — выпускники нашего тракторного училища, они всё прекрасно закроют и откроют новые дырки.

[betal]

[LukaSafonov]

Ждём топик про Рамблер.

[Lucky_Student]

А им еще кто-то пользуется? :)

[darkfrei]

На всякий случай держу там аккаунт, только они его зарубают каждые полгода.
Просто однажды перестает приходить с него почта, никаких предупреждений не делают. Нельзя к ним хорошо относиться.

[note]

Теперь я понимаю почему Опера настолько популярна только в СНГ…
За бугром мало кому придет в голову менять в каком-нибудь там «ВКон***те» дату рождения на 777 и искать такие детские уязвимости.

[note]

Забыл поставить тег сарказма, каюсь.

[piratus]

и блог перепутал

[le0pard]

Firefox+Firebug гарантирует тоже самое.
А проверять нужно все введение пользователем данные.

[betal]

chrome тоже

[Gesper]

даже IE8 на это вполне способен

[note]

Не о том речь «кто может, а кто нет» и в гробу я видел эти бесконечные холивары. Это был сарказм.
И раз уж пошла такая пляска, то примите к сведению — так может любой браузер из «большой пятерки», даже IE.

[clumsy]

Всё это, конечно, здорово. А тех, кто пользуются почтовыми клиентами типа Outlook Express, The Bat!, Thunderbird и т.д., не пугает тот факт, что их пароли к серверу при сборе почты также ходят в открытом виде?

У того же mail.ru в help'е написано: "Убедитесь, что опция Use encrypted login method (APOP) не включена."

[v1z]

они обычно не думают о безопастности, да и кому понадобится взламывать их акки?)

[basilisk]

А вы считаете, что пароли ходят в открытом виде из-за лени создателей почтовых клиентов? А может всё таки виноваты устаревшие протоколы SMTP/POP3/IMAP4?

[clumsy]

Почтовые клиенты как раз умеют работать с шифрованнымм методами аутентификации, обмениваться данными с сервером используя TLS и т.д. Например, с gmail можно забирать почту по POP3 используя подключение по TLS.

[basilisk]

Угу. И я про то. И многие почтовые клиенты (из перечисленных выше The Bat!, Thunderbird, а в случае с Outlook — не знаю) поддерживают эти протоколы уже давным давно. Дело всего лишь в серверах, использующих устаревшие и небезопасные протоколы.

[betal]

Но у Google же шифруется. Вроде через TSL и SSL шифровать можно.

[dewil]

гугл запрещает пользоваться без SSL/TLS

[zhnikita]

Не надо гнать на Птицу! Нормальные юзеры пользуют сервисы с SSL, так что пароли ниразу не светятся!
P.S. Прекрасно понимаю, что все перечисленные почты к таким не относятся… :-)

[tagir_valeev]

А можно разом весь список проблемных сайтов? А то по топику на сайт — многовато как-то :-)

А реально многие пользуются сборщиками? Если ящик позволяет форвардить, имхо, настроить форвард проще и безопаснее. Конечно, я не спорю, что указанную проблему следует исправить, но, по-моему, вся идея сборщиков почты — это костыль для странных ящиков с отсутствием форварда. Это ж polling, а polling, как известно, kills.

[drjohnes]

У многих корпоративных ящиков или у провайдеров может такого не быть.

[mrspd]

Намного проще ввести все в одном месте, чем лазить по все ящикам и настраивать форвардинг

[pento]

Уязвимость эта всё же больше для эпатажа, хотя конечно и имеет место.
Как уже ранее писалось в предыдущих топиках, необходимо соблюдение ряда условий, что бы её использовать в реальной жизни.

[kukutz]

Проблема на Яндекс.Почте устранена. И в modern-интерфейсе тоже, если что.

[egorinsk]

Ха! Так их, по ходу там совсем бестолковые братюни в Яндексе работали :)

[MaxSergeev]

Одного не могу понять: откуда сервисы знают пароли? Все же декларируют, что хранят исключительно хеши…

[MaxSergeev]

Спасибо.

[FractalizeR]

Не совсем понимаю, откуда такая паника? Когда вы принимаете почту в вашем любимом Email клиенте, каждый раз POP пароль улетает в сеть. А если вы оставляете любимый The Bat активным и свернутым, как большинство менеджеров, POP пароль улетает в сеть раз в пять минут. Но, почему-то никто не называет это уязвимостью протокола POP3. Если подумать, с FTP тоже самое. А еще с ICQ и YYY протоколом. А то, что все админки защищены .htaccess с типом авторизации Basic не катастрофа?

Даже если присланная страница вместе с паролем остается в кеше браузера, я не вижу тут ничего криминального. Ведь другой пользователь компьютера не должен иметь доступ в профиль вашего браузера.