Comments 136
Как-будто бы не дописали статью до конца?
… весьма интересных. Логин: и Пароль: — у последнего смотрим значение параметра value…
Просто предположил. Не проверял.
Просто предположил. Не проверял.
Я тут поближе к началу напишу, что проблема исправлена, ладно?
Спасибо.
Спасибо.
В смысле, проблема, которой посвящена статья =)
Предлагаю теперь всем писать не в техподдержку Яндекса, а сразу на Хабр. Так быстрей до нужных людей доходить будет.
Вряд ли это разумно.
habrahabr.ru/blogs/infosecurity/82504/ — продолжение истории.
Ну я какбе догадываюсь что там пароль хранится в незашифрованном виде
Сейчас разметочку поправим, будьте снисходительны пожалуйста!
Не нужно минусовать хабровчанина, он был прав. Потом мы поправили разметку статьи.
Интересно, а в Яндекс Вы (или jeditobe) сообщили об этом?
Еще несколько лет назад, когда впервые обнаружил, получил от них автоматический ответ и дальше дело не пошло.
Я сообщал. «Благодарим за письмо. Мы обязательно передадим Ваши пожелания разработчикам.» Это не автоматический ответ. Апрель 2008-го. Никаких подвижек.
Мне кажется, что доверять таким образом одному сервису- нецелесообразно, по описанным в статье причинам. Проще настроить на каждом почтовом ящике, который необходимо мониторить, форвардинг писем на необходимый адрес. Таким образом, пароли от ящиков остаются известными только вам.
UFO just landed and posted this here
UFO just landed and posted this here
Например, рабочая почта, форвардинг которой невозможен по каким-либо причинам.
например я 3 года не знал других сервисов и везде оставлял свой адрес, а теперь заставляет пользоваться только то, что у многих он сохранился.
я за всю жизнь реально пользовался только двумя ящиками. gmail тянет почту с первого, потому-что первый не умеет перессылку.
я за всю жизнь реально пользовался только двумя ящиками. gmail тянет почту с первого, потому-что первый не умеет перессылку.
Интересно а как можно организовать сбор почты с других ящиков?
ТОЛЬКО зная пароль от них.
А что бы не перехватили пароль при настройке через WEB — пользуйтесь https
ТОЛЬКО зная пароль от них.
А что бы не перехватили пароль при настройке через WEB — пользуйтесь https
В gmail есть такая опция в настройках :)
Понятно что надо знать пароль, но это не значит что его нужно показывать
Не нужно показывать пароль человеку который его-же и вводил?
Или в случае угона Мастер-Ящика нельзя будет злоумышленику «напомнить пароль» на Подчинённых-Ящиках?
В интерфейсе он и так не показывается.
Если человек его вводил, то он должен его знать. Для напоминания есть сервисы «забытый пароль». Здесь же существует опасность, что пароль смогут узнать люди, которые его не вводили =)
Это здраво. Наполовину согласен.
НО:
1. забытый пароль и для злоумышленника сработает
2. хозяину проще же так посмотреть
НО:
1. забытый пароль и для злоумышленника сработает
2. хозяину проще же так посмотреть
Вы не правы
Допустим у меня есть ящик на яндексе и я собираю почту с ящика на mail.ru (а может и нескольких)
Злоумышленник проник в мой ящик яндекса и зайдя в настройки импорта получает совершенно свободно пароли от ВСЕХ моих mail ящиков.
Как должно быть: мой ящик на яндексе взломан, но пароли от импорта можно только сменить а не увидеть. Максимум что сможет сделать злоумышленник это попытаться подобрать пароль от этих ящиков (вдруг он совпадает с яндексом) или попробовать использовать функцию восстановления пароля на самом mail.ru, но это уже дополнительная проблема — ведь надо ответить на секретный вопрос и т.д.
Допустим у меня есть ящик на яндексе и я собираю почту с ящика на mail.ru (а может и нескольких)
Злоумышленник проник в мой ящик яндекса и зайдя в настройки импорта получает совершенно свободно пароли от ВСЕХ моих mail ящиков.
Как должно быть: мой ящик на яндексе взломан, но пароли от импорта можно только сменить а не увидеть. Максимум что сможет сделать злоумышленник это попытаться подобрать пароль от этих ящиков (вдруг он совпадает с яндексом) или попробовать использовать функцию восстановления пароля на самом mail.ru, но это уже дополнительная проблема — ведь надо ответить на секретный вопрос и т.д.
Конечно нет. Это одно из базовых правил безопасности
бля, учите матчасть.
Яндекс использует для этих страниц http://
В исходном коде всплывающего окна вся информация о настраиваемой учетной записи.
В исходном коде всплывающего окна вся информация о настраиваемой учетной записи.
Это и есть единственная промашка — отсутствие принудительного https
А почему бы изначально присылать пользователю звездочки, а не полностью пароль? Он же все равно его не видит, без использования «извращенных» приемов
«Яндекс-Почта» SSL не любит. Во-первых, если не меняешь адрес руками на https://, вход идет по нешифрованному каналу. Во-вторых, вебовая почта по SSL глючит в «Сафари». В-третьих, нет шифрования для POP3, SMTP.
Особенно опасно пользоваться ящиками на яндексе всем у кого спутниковый интернет. Известные мне спутниковые провайдеры PlanetSky, SkyDSL и прочие вещают трафик который легко ловиться. Всем кому знаком термин «спутниковая рыбалка» прекрасно об этом знают.
Вход всегда идёт по шифрованному каналу, если только он доступен.
https не решаешь проблему, а только усложнит работу взломщикам
Если вам зажать палец дверью или воспользоваться паяльником — то вы пароль скажете и так.
Конструктивно же — новый интерфейс (с которого вы тут просите переключиться), такой проблемы не имеет. Старым интерфейсом пользуется пренебрежимо малое количество пользователей.
Я не считаю это заметной и опасной уязвимостью (простите, но в большинстве случаев ваши пароли от POP3 и так ходят по интернету в открытом виде), но тем не менее в ближайшее время мы в старом интерфейсе эту недоработку устраним.
О полном переходе на https думаем — тут проблема не в том чтобы букву s добавить, а в том, чтобы более комплексно к проблемам безопасности пользователя на почте подойти и ради этого требуется заметное количество архитектурных изменений и доработок.
Спасибо.
Конструктивно же — новый интерфейс (с которого вы тут просите переключиться), такой проблемы не имеет. Старым интерфейсом пользуется пренебрежимо малое количество пользователей.
Я не считаю это заметной и опасной уязвимостью (простите, но в большинстве случаев ваши пароли от POP3 и так ходят по интернету в открытом виде), но тем не менее в ближайшее время мы в старом интерфейсе эту недоработку устраним.
О полном переходе на https думаем — тут проблема не в том чтобы букву s добавить, а в том, чтобы более комплексно к проблемам безопасности пользователя на почте подойти и ради этого требуется заметное количество архитектурных изменений и доработок.
Спасибо.
Можно было бы страницу с настройками защить https. И это лазейка для злоумышленников, которые могут снифить трафик на «последней миле» (именно здесь самый высокий риск) или украсть пароль к мастер-ящику.
Ну и офтоп, старый интерфейс винрарный — самый экономичный по трафику и самый эргономичный. Кроме того, он гораздо реже глючит по сравнению с новым, сделанным чуть более чем полностью из AJAX
Ну и офтоп, старый интерфейс винрарный — самый экономичный по трафику и самый эргономичный. Кроме того, он гораздо реже глючит по сравнению с новым, сделанным чуть более чем полностью из AJAX
абсолютно согласен с вами.
2003 интерфейс наиболее удобный.
в службе поддержки мне сказали, что «В настоящее время поддержка классического интерфейса остановлена, т.к. выпущен новый и более современный интерфейс «Нео», созданный в том числе с учетом опыта разработки интерфейса «Классический» и пожеланий его пользователей.»
2003 интерфейс наиболее удобный.
в службе поддержки мне сказали, что «В настоящее время поддержка классического интерфейса остановлена, т.к. выпущен новый и более современный интерфейс «Нео», созданный в том числе с учетом опыта разработки интерфейса «Классический» и пожеланий его пользователей.»
Мое пожелание закопать интерфейс «Нео» и добавить gzip сжатие классическому интерфейсу.
И вообще верните ссылку на Яндекс.Ленту ко мне в почту. «Подписки» никуда не годятся!
И вообще верните ссылку на Яндекс.Ленту ко мне в почту. «Подписки» никуда не годятся!
Чем не годятся?
Читать их неудобно, в отличие от старой ленты.
В чём именно заключаются неудобства?
У Я.Ленты была оригинальная эргономика — минимум ширины терялся на навигацию, очень удобно для работы (и развлечения) с сплошным потоком — читаешь скроллирушь подряд, а иконки-идентификаторы слева переключали контекст, используя только периферическое зрение.
Т.е. параллельно, для редко используемых фидов, или каналов, где шло много мусора (нужно просматривать только заголовки) я использовал гуглридер, а для удовольствия — Я.Ленту.
Подписки же выглядят ухудшенной копией гуглридера, и я попробовал вербализировать, почему они мне не нравятся: верстка ленты — свободный текст, не зарытый в отдельные блоки, с большим пространством, на котором отдыхает глаз (эргономике это не вредит, ибо по вертикали скроллировать можно быстро и удобно), а в Подписках — очень плотно расставленные блоки, ощущение тесноты, надо вчитываться (плюс еще разбирать что и от кого).
Ну, и чтобы два раза не вставать — просьба. Я понимаю, что Ленту заморозили, такие дела. Но меня ужасно напрягло, что после обьявленной заморозки, умирающую Ленту обвесили жуткими ссылками на ярушку, аки заброшенный сайт, превращаемый врагами рода человеческого (сеошниками), в линк-ферму.
Я взываю к вашей совести, пожалуйста, верните Ленту к прошлому состоянию, или (понимаю, что тяжело), сделайте ссылки отключаемыми специальной настройкой.
Т.е. параллельно, для редко используемых фидов, или каналов, где шло много мусора (нужно просматривать только заголовки) я использовал гуглридер, а для удовольствия — Я.Ленту.
Подписки же выглядят ухудшенной копией гуглридера, и я попробовал вербализировать, почему они мне не нравятся: верстка ленты — свободный текст, не зарытый в отдельные блоки, с большим пространством, на котором отдыхает глаз (эргономике это не вредит, ибо по вертикали скроллировать можно быстро и удобно), а в Подписках — очень плотно расставленные блоки, ощущение тесноты, надо вчитываться (плюс еще разбирать что и от кого).
Ну, и чтобы два раза не вставать — просьба. Я понимаю, что Ленту заморозили, такие дела. Но меня ужасно напрягло, что после обьявленной заморозки, умирающую Ленту обвесили жуткими ссылками на ярушку, аки заброшенный сайт, превращаемый врагами рода человеческого (сеошниками), в линк-ферму.
Я взываю к вашей совести, пожалуйста, верните Ленту к прошлому состоянию, или (понимаю, что тяжело), сделайте ссылки отключаемыми специальной настройкой.
Просто верните Ленту! Верните Яндекс.WiFi
Хватит выдумывать велосипеды. Вы все портите!
Хватит выдумывать велосипеды. Вы все портите!
Спасибо за истерику вместо ответа на мой вопрос.
Пожалуйста!
Зачем мне куча разных сортов мороженого, если я хочу просто советский пломбир в стаканчике? А он вроде как устарел, и поэтому его фиг найдешь.
Та же самая история и с Вашими сервисами. Вы думаете, что их улучшаете, а на самом деле…
Зачем мне куча разных сортов мороженого, если я хочу просто советский пломбир в стаканчике? А он вроде как устарел, и поэтому его фиг найдешь.
Та же самая история и с Вашими сервисами. Вы думаете, что их улучшаете, а на самом деле…
А вот если бы вы ответили на мой вопрос, то мы бы смогли понять, чем вам нравится Лента и сохранить это.
Я ответил на него. Мне нравится лента абсолютно полностью в том виде, в каком она была. Со ссылкой из почты и количеством сообщений в том числе.
Подписки абсолютно не предоставляют того функционала, который предоставляла Лента, а именно возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS.
Подписки абсолютно не предоставляют того функционала, который предоставляла Лента, а именно возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS.
Чем Подписки отличаются от Ленты, что вам кажется, что они не предоставляют возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS?
В чём возникает напряг?
В чём возникает напряг?
Тем, что вы оформили Подписки аля интерфейс Почты.
Все новые письма выделяются жирным. Это приемлемо когда у меня 5-10 новых писем за раз. Но совершенно не годится для сотен сообщений в день, собраных по RSS. Все заголовки набраны мелким жирным шрифтом, и ведь по ним еще нужно кликать, чтобы получить подробности!
Все новые письма выделяются жирным. Это приемлемо когда у меня 5-10 новых писем за раз. Но совершенно не годится для сотен сообщений в день, собраных по RSS. Все заголовки набраны мелким жирным шрифтом, и ведь по ним еще нужно кликать, чтобы получить подробности!
Погодите, вы хотите сказать, что не видели в тулбаре кнопки «развернуть всё», которая делает раз и навсегда все сообщения развёрнутыми?
Скажем иначе
Отечественные компании типа mail.ru и yandex не имеют права делать https, так как товарищ майор не получит доступа — СОРМ пока SSl не умеет
Отечественные компании типа mail.ru и yandex не имеют права делать https, так как товарищ майор не получит доступа — СОРМ пока SSl не умеет
Логика сотрудников Яндекса всегда меня удивляла, а точнее её отсутствие. Откройте новый сервис parolchik.yandex.ru (навеяно словом fotki) и выкладывайте там логины/пароли всех пользователей, а в анонсе напишете:«Теперь вам нечего бояться, вас никто не будет пытать паяльником или прищемлять пальцы дверью, чтобы узнать пароль, потому что он опубликован на нашем новом сервисе»
Извините, конечно, но лично мне это напомнило недавнюю историю в духе МС:
«Да, проблема есть, да, ею можно воспользоваться, но выпускать критичное обновление мы не будем, т.к. это нарушает наш цикл выпуска обновлений».
Думаю, все помнят, что это вызвало и чем это закончилось. Так же можно вспомнить, что другой поставищик e-mail сервиса после случившегося тут же включил шифрование всего трафика для всех пользователей (при этом, шифрование странички аутентификации у них было включено и до этого инцидента.
«Да, проблема есть, да, ею можно воспользоваться, но выпускать критичное обновление мы не будем, т.к. это нарушает наш цикл выпуска обновлений».
Думаю, все помнят, что это вызвало и чем это закончилось. Так же можно вспомнить, что другой поставищик e-mail сервиса после случившегося тут же включил шифрование всего трафика для всех пользователей (при этом, шифрование странички аутентификации у них было включено и до этого инцидента.
о нет, не передергивайте, пожалуйста.
Мы готовим обновление (срочное) обозначенной проблемы и, как я написал выше, https — на подходе, но там все несколько серьезнее, чем просто букву s внедрить. Это вопрос недель, к сожалению.
Просто мы не обсуждаем. Мы делаем.
Мы готовим обновление (срочное) обозначенной проблемы и, как я написал выше, https — на подходе, но там все несколько серьезнее, чем просто букву s внедрить. Это вопрос недель, к сожалению.
Просто мы не обсуждаем. Мы делаем.
Недели идут, грабь@воруй!
Чтобы включить передачу трафика по https нужно несколько недель?
Боюсь, это сложно объяснить человеку «вне контекста» архитектуры сервиса.
Да, нужно несколько недель и достаточно заметные переделки — понять это, не понимая, как и что тут устроено — почти нереально. Простите.
Да, нужно несколько недель и достаточно заметные переделки — понять это, не понимая, как и что тут устроено — почти нереально. Простите.
Если кратко, то сам по себе https добавляет мало безопасности, если процесс логина происходит по https (а у нас именно так). Но, переработав некоторые элементы портальной авторизации и некоторые подходы к хранению и передаче данных, можно получить от внедрения https действительно большой профит.
Вот нам и хочется сделать не быструю отмазку, а реальную пользу.
Вот нам и хочется сделать не быструю отмазку, а реальную пользу.
Слава богу, что я не являюсь пользователем яндекса. Но если бы являлся — то после этого поста это был бы мой последний день его использования.
Почему, можете объяснить?
UFO just landed and posted this here
тут дело не в идеальности сервиса а в отношении к клиентам
UFO just landed and posted this here
Хочу защитить саппорт Яндекса. Они ответ на любое письмо об ошибке отвечают через несколько часов, если это небольшая проблема.
А месяц назад со мной произошел случай — в Гуглохроме ни с того ни с сего начала разваливаться верстка ЯндексоПочты (с разных компьютеров), о чем я и написал в саппорт. Через несколько дней пришел ответ — «Ваша проблема устранена?» с кодом ошибки. И проблемы больше не было.
А месяц назад со мной произошел случай — в Гуглохроме ни с того ни с сего начала разваливаться верстка ЯндексоПочты (с разных компьютеров), о чем я и написал в саппорт. Через несколько дней пришел ответ — «Ваша проблема устранена?» с кодом ошибки. И проблемы больше не было.
UFO just landed and posted this here
Перезалейте изображения.
Попробовал сейчас через «классический» интерфейс добавить ящик для сбора — не дает.
Владик Топалов в качестве пароля — это сильно
Как минимум, у двух человек в мире «Влад Топалов» на паролях — это у вышеупомянутой Кати и у самого Влада Топалова.
надоели уже эти посты с припиской «у имярек нет кармы».
Нету — значит не заработал. Кончилась — сам виноват!
Пусть постит в персональный блог, или постите в профильный, но без перевода стрелок — подписались постить за другого, так и отгребайте (и плюсы, и минусы) за него.
Нету — значит не заработал. Кончилась — сам виноват!
Пусть постит в персональный блог, или постите в профильный, но без перевода стрелок — подписались постить за другого, так и отгребайте (и плюсы, и минусы) за него.
«Пшшшшш…»
Да вы кипите, батенька.
И к сведению — при отрицательной карме постить нельзя. Вобще. Никуда.
Да вы кипите, батенька.
И к сведению — при отрицательной карме постить нельзя. Вобще. Никуда.
Ну и замечательно, на кой тогда эта карма?
Кстати, наконец-то понял людей, которые видят преимущество в минусовой карме. Можно не задумываться особо о словам, принцип «кнута и пряника» в виде кармы уже почти не работает.
Единственное неудобство — что каментить можно, только раз в 5 минут, но и тут можно найти преимущства — можно писать более основательные каменты, или же что более полезно, больше времени обратить на работу. :)
Единственное неудобство — что каментить можно, только раз в 5 минут, но и тут можно найти преимущства — можно писать более основательные каменты, или же что более полезно, больше времени обратить на работу. :)
пользуйтесь gmail, там везде https
Вот я и не пользуюсь нашими сервисами, потому что их представители вместо того, чтобы признать проблему и оперативно ее исправить, начинают размышлять о паяльниках.
После того как об этом рассказали чтобы все слышали, это может действительно стать проблемой :))
я помню мс пыталась запретить публиковать стороннии секьюрити бюллетени про винду с такой же формулировкой :)))
Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:
* чтобы пользователь пользовался classic-ом
* чтобы у него были настроены сброщики
* чтобы у злоумышленника был доступ к сниффингу траффика пользователя
* чтобы пользователь попал на страницу с CSRF, сконструированную злоумышленником
Мне кажется, это весьма редкое сочетание условий. Тем не менее, проблему мы исправили.
* чтобы пользователь пользовался classic-ом
* чтобы у него были настроены сброщики
* чтобы у злоумышленника был доступ к сниффингу траффика пользователя
* чтобы пользователь попал на страницу с CSRF, сконструированную злоумышленником
Мне кажется, это весьма редкое сочетание условий. Тем не менее, проблему мы исправили.
А как насчет XSS на Яндексе? Неужели нет?
И как наличие XSS (которые мы исправляем в день обнаружения, как правило) поможет проэксплуатировать ЭТУ проблему?
Через XSS (некоторые не исправлены много лет, и появляются новые) можно получить код любой страницы, к которой пользователь имеет доступ.
т.е. сначала парсим страницу
mail.yandex.ru/classic/setup_collectors
И выдергиваем оттуда адрес типа
mail.yandex.ru/classic/setup_collectors_edit?popid=2030000000000510249
После чего отправляем на любой хост исходный код этой страницы.
т.е. сначала парсим страницу
mail.yandex.ru/classic/setup_collectors
И выдергиваем оттуда адрес типа
mail.yandex.ru/classic/setup_collectors_edit?popid=2030000000000510249
После чего отправляем на любой хост исходный код этой страницы.
PS. Сам обнаружил у Вас в расширенном поиске пассивную XSS совершенно случайно, что говорить о дебрях. Прожила недели две вроде, точно не помню.
1. А какие XSS живут годами, если не секрет?
2. Да, вы правы. Но первые два пункта это не отменяет.
2. Да, вы правы. Но первые два пункта это не отменяет.
Первый пункт отменяет, но сборщики действительно должны быть.
Я не взломщик, а разработчик, не занимался целенаправленно поиском XSS.
Вот тут, например, почти каждое приложение содержит в себе XSS. Еще ошибки находил на buki.yandex.ru и других местах, их легче использовать, они с GET запросами, но я не сохранил их адресов.
Я не взломщик, а разработчик, не занимался целенаправленно поиском XSS.
Вот тут, например, почти каждое приложение содержит в себе XSS. Еще ошибки находил на buki.yandex.ru и других местах, их легче использовать, они с GET запросами, но я не сохранил их адресов.
Кстати на mail.ru тоже самое, что про них не написали?
Виноват Лебедев ;-)
Интересно сколько сейчас человек проверили почту katusha1986@inbox.ru паролем vladiktopalov?
Лучше напишите ей письмо =)
Даешь Gmail!
Ну а мы, кстати, выкатили обновление, которое исправляет эту проблему.
Я когда то на своей exit-ноде Tor-а много насобирал таких вот любителей проверять почту не через SSL. Любой логин по незашифрованному каналу — зло.
Логин в Яндексе осуществляется через SSL.
При использовании POP3, IMAP, SMTP пароль шифруется?
Да, на всех клиентских протоколах поддерживается TLS-авторизация, а пользоваться ей или нет — решает сам клиент, мы тут, к сожалению, за пользователя решить не можем.
Вынужден признать нашу ошибку — в help-е на скриншотах мы не отчекали галочки про то, что по-умолчанию людям рекомендуется ставить опцию «безопасная авторизация» — я уже попросил это поправить, в ближайшее время поменяем, спасибо, что обратили на это внимание.
Вынужден признать нашу ошибку — в help-е на скриншотах мы не отчекали галочки про то, что по-умолчанию людям рекомендуется ставить опцию «безопасная авторизация» — я уже попросил это поправить, в ближайшее время поменяем, спасибо, что обратили на это внимание.
Sign up to leave a comment.
Ограбление по-дилетантски или о том, как Яндекс хранит пароли