Comments 136
Как-будто бы не дописали статью до конца?
+6
… весьма интересных. Логин: и Пароль: — у последнего смотрим значение параметра value…
Просто предположил. Не проверял.
Просто предположил. Не проверял.
+3
Я тут поближе к началу напишу, что проблема исправлена, ладно?
Спасибо.
Спасибо.
+2
В смысле, проблема, которой посвящена статья =)
0
Предлагаю теперь всем писать не в техподдержку Яндекса, а сразу на Хабр. Так быстрей до нужных людей доходить будет.
0
Вряд ли это разумно.
0
habrahabr.ru/blogs/infosecurity/82504/ — продолжение истории.
+1
Ну я какбе догадываюсь что там пароль хранится в незашифрованном виде
+2
Сейчас разметочку поправим, будьте снисходительны пожалуйста!
+3
Не нужно минусовать хабровчанина, он был прав. Потом мы поправили разметку статьи.
0
Еще несколько лет назад, когда впервые обнаружил, получил от них автоматический ответ и дальше дело не пошло.
+20
Я сообщал. «Благодарим за письмо. Мы обязательно передадим Ваши пожелания разработчикам.» Это не автоматический ответ. Апрель 2008-го. Никаких подвижек.
+1
Мне кажется, что доверять таким образом одному сервису- нецелесообразно, по описанным в статье причинам. Проще настроить на каждом почтовом ящике, который необходимо мониторить, форвардинг писем на необходимый адрес. Таким образом, пароли от ящиков остаются известными только вам.
+5
UFO just landed and posted this here
UFO just landed and posted this here
Например, рабочая почта, форвардинг которой невозможен по каким-либо причинам.
+1
например я 3 года не знал других сервисов и везде оставлял свой адрес, а теперь заставляет пользоваться только то, что у многих он сохранился.
я за всю жизнь реально пользовался только двумя ящиками. gmail тянет почту с первого, потому-что первый не умеет перессылку.
я за всю жизнь реально пользовался только двумя ящиками. gmail тянет почту с первого, потому-что первый не умеет перессылку.
+1
Интересно а как можно организовать сбор почты с других ящиков?
ТОЛЬКО зная пароль от них.
А что бы не перехватили пароль при настройке через WEB — пользуйтесь https
ТОЛЬКО зная пароль от них.
А что бы не перехватили пароль при настройке через WEB — пользуйтесь https
-4
В gmail есть такая опция в настройках :)
+5
Понятно что надо знать пароль, но это не значит что его нужно показывать
0
Не нужно показывать пароль человеку который его-же и вводил?
0
Или в случае угона Мастер-Ящика нельзя будет злоумышленику «напомнить пароль» на Подчинённых-Ящиках?
0
В интерфейсе он и так не показывается.
0
Вы плохо читали статью. Его вообще на клиента вытягивать не надо. А так он приходит на клиентскую машину для того, чтобы вместо него нарисовались звёздочки. Защита от дурака. Да ещё и просто http.
+1
Если человек его вводил, то он должен его знать. Для напоминания есть сервисы «забытый пароль». Здесь же существует опасность, что пароль смогут узнать люди, которые его не вводили =)
+4
Это здраво. Наполовину согласен.
НО:
1. забытый пароль и для злоумышленника сработает
2. хозяину проще же так посмотреть
НО:
1. забытый пароль и для злоумышленника сработает
2. хозяину проще же так посмотреть
0
Вы не правы
Допустим у меня есть ящик на яндексе и я собираю почту с ящика на mail.ru (а может и нескольких)
Злоумышленник проник в мой ящик яндекса и зайдя в настройки импорта получает совершенно свободно пароли от ВСЕХ моих mail ящиков.
Как должно быть: мой ящик на яндексе взломан, но пароли от импорта можно только сменить а не увидеть. Максимум что сможет сделать злоумышленник это попытаться подобрать пароль от этих ящиков (вдруг он совпадает с яндексом) или попробовать использовать функцию восстановления пароля на самом mail.ru, но это уже дополнительная проблема — ведь надо ответить на секретный вопрос и т.д.
Допустим у меня есть ящик на яндексе и я собираю почту с ящика на mail.ru (а может и нескольких)
Злоумышленник проник в мой ящик яндекса и зайдя в настройки импорта получает совершенно свободно пароли от ВСЕХ моих mail ящиков.
Как должно быть: мой ящик на яндексе взломан, но пароли от импорта можно только сменить а не увидеть. Максимум что сможет сделать злоумышленник это попытаться подобрать пароль от этих ящиков (вдруг он совпадает с яндексом) или попробовать использовать функцию восстановления пароля на самом mail.ru, но это уже дополнительная проблема — ведь надо ответить на секретный вопрос и т.д.
+5
Конечно нет. Это одно из базовых правил безопасности
0
бля, учите матчасть.
+1
Яндекс использует для этих страниц http://
В исходном коде всплывающего окна вся информация о настраиваемой учетной записи.
В исходном коде всплывающего окна вся информация о настраиваемой учетной записи.
+3
Это и есть единственная промашка — отсутствие принудительного https
0
А почему бы изначально присылать пользователю звездочки, а не полностью пароль? Он же все равно его не видит, без использования «извращенных» приемов
+6
Это традиция графического режима и многозадачности.
Во многих консольных программах на ввод символа пароля даже не появляется звёздочка.
Во многих консольных программах на ввод символа пароля даже не появляется звёздочка.
0
Мне кажется, весьма полезная традиция, если бы не она — пароль вообще можно было бы в бинокль подсмотреть…
+1
«Яндекс-Почта» SSL не любит. Во-первых, если не меняешь адрес руками на https://, вход идет по нешифрованному каналу. Во-вторых, вебовая почта по SSL глючит в «Сафари». В-третьих, нет шифрования для POP3, SMTP.
+2
Особенно опасно пользоваться ящиками на яндексе всем у кого спутниковый интернет. Известные мне спутниковые провайдеры PlanetSky, SkyDSL и прочие вещают трафик который легко ловиться. Всем кому знаком термин «спутниковая рыбалка» прекрасно об этом знают.
0
В яблочко, вылавливал такие страницы пачками — позор Яндексу.
0
Почему не делают https для вебинтерфейса почты по дефолту? По моему проблема с сафари не должна повлиять на решение убрать SSL.
0
Да что там спутники. Сидя через вайфай в кафе, не знаешь, насколько пытлив местный админ.
0
Вход всегда идёт по шифрованному каналу, если только он доступен.
+1
https не решаешь проблему, а только усложнит работу взломщикам
+3
Если вам зажать палец дверью или воспользоваться паяльником — то вы пароль скажете и так.
Конструктивно же — новый интерфейс (с которого вы тут просите переключиться), такой проблемы не имеет. Старым интерфейсом пользуется пренебрежимо малое количество пользователей.
Я не считаю это заметной и опасной уязвимостью (простите, но в большинстве случаев ваши пароли от POP3 и так ходят по интернету в открытом виде), но тем не менее в ближайшее время мы в старом интерфейсе эту недоработку устраним.
О полном переходе на https думаем — тут проблема не в том чтобы букву s добавить, а в том, чтобы более комплексно к проблемам безопасности пользователя на почте подойти и ради этого требуется заметное количество архитектурных изменений и доработок.
Спасибо.
Конструктивно же — новый интерфейс (с которого вы тут просите переключиться), такой проблемы не имеет. Старым интерфейсом пользуется пренебрежимо малое количество пользователей.
Я не считаю это заметной и опасной уязвимостью (простите, но в большинстве случаев ваши пароли от POP3 и так ходят по интернету в открытом виде), но тем не менее в ближайшее время мы в старом интерфейсе эту недоработку устраним.
О полном переходе на https думаем — тут проблема не в том чтобы букву s добавить, а в том, чтобы более комплексно к проблемам безопасности пользователя на почте подойти и ради этого требуется заметное количество архитектурных изменений и доработок.
Спасибо.
-13
Можно было бы страницу с настройками защить https. И это лазейка для злоумышленников, которые могут снифить трафик на «последней миле» (именно здесь самый высокий риск) или украсть пароль к мастер-ящику.
Ну и офтоп, старый интерфейс винрарный — самый экономичный по трафику и самый эргономичный. Кроме того, он гораздо реже глючит по сравнению с новым, сделанным чуть более чем полностью из AJAX
Ну и офтоп, старый интерфейс винрарный — самый экономичный по трафику и самый эргономичный. Кроме того, он гораздо реже глючит по сравнению с новым, сделанным чуть более чем полностью из AJAX
0
абсолютно согласен с вами.
2003 интерфейс наиболее удобный.
в службе поддержки мне сказали, что «В настоящее время поддержка классического интерфейса остановлена, т.к. выпущен новый и более современный интерфейс «Нео», созданный в том числе с учетом опыта разработки интерфейса «Классический» и пожеланий его пользователей.»
2003 интерфейс наиболее удобный.
в службе поддержки мне сказали, что «В настоящее время поддержка классического интерфейса остановлена, т.к. выпущен новый и более современный интерфейс «Нео», созданный в том числе с учетом опыта разработки интерфейса «Классический» и пожеланий его пользователей.»
+2
Мое пожелание закопать интерфейс «Нео» и добавить gzip сжатие классическому интерфейсу.
И вообще верните ссылку на Яндекс.Ленту ко мне в почту. «Подписки» никуда не годятся!
И вообще верните ссылку на Яндекс.Ленту ко мне в почту. «Подписки» никуда не годятся!
0
Чем не годятся?
0
Читать их неудобно, в отличие от старой ленты.
0
В чём именно заключаются неудобства?
0
У Я.Ленты была оригинальная эргономика — минимум ширины терялся на навигацию, очень удобно для работы (и развлечения) с сплошным потоком — читаешь скроллирушь подряд, а иконки-идентификаторы слева переключали контекст, используя только периферическое зрение.
Т.е. параллельно, для редко используемых фидов, или каналов, где шло много мусора (нужно просматривать только заголовки) я использовал гуглридер, а для удовольствия — Я.Ленту.
Подписки же выглядят ухудшенной копией гуглридера, и я попробовал вербализировать, почему они мне не нравятся: верстка ленты — свободный текст, не зарытый в отдельные блоки, с большим пространством, на котором отдыхает глаз (эргономике это не вредит, ибо по вертикали скроллировать можно быстро и удобно), а в Подписках — очень плотно расставленные блоки, ощущение тесноты, надо вчитываться (плюс еще разбирать что и от кого).
Ну, и чтобы два раза не вставать — просьба. Я понимаю, что Ленту заморозили, такие дела. Но меня ужасно напрягло, что после обьявленной заморозки, умирающую Ленту обвесили жуткими ссылками на ярушку, аки заброшенный сайт, превращаемый врагами рода человеческого (сеошниками), в линк-ферму.
Я взываю к вашей совести, пожалуйста, верните Ленту к прошлому состоянию, или (понимаю, что тяжело), сделайте ссылки отключаемыми специальной настройкой.
Т.е. параллельно, для редко используемых фидов, или каналов, где шло много мусора (нужно просматривать только заголовки) я использовал гуглридер, а для удовольствия — Я.Ленту.
Подписки же выглядят ухудшенной копией гуглридера, и я попробовал вербализировать, почему они мне не нравятся: верстка ленты — свободный текст, не зарытый в отдельные блоки, с большим пространством, на котором отдыхает глаз (эргономике это не вредит, ибо по вертикали скроллировать можно быстро и удобно), а в Подписках — очень плотно расставленные блоки, ощущение тесноты, надо вчитываться (плюс еще разбирать что и от кого).
Ну, и чтобы два раза не вставать — просьба. Я понимаю, что Ленту заморозили, такие дела. Но меня ужасно напрягло, что после обьявленной заморозки, умирающую Ленту обвесили жуткими ссылками на ярушку, аки заброшенный сайт, превращаемый врагами рода человеческого (сеошниками), в линк-ферму.
Я взываю к вашей совести, пожалуйста, верните Ленту к прошлому состоянию, или (понимаю, что тяжело), сделайте ссылки отключаемыми специальной настройкой.
+2
Просто верните Ленту! Верните Яндекс.WiFi
Хватит выдумывать велосипеды. Вы все портите!
Хватит выдумывать велосипеды. Вы все портите!
-2
Спасибо за истерику вместо ответа на мой вопрос.
+2
Пожалуйста!
Зачем мне куча разных сортов мороженого, если я хочу просто советский пломбир в стаканчике? А он вроде как устарел, и поэтому его фиг найдешь.
Та же самая история и с Вашими сервисами. Вы думаете, что их улучшаете, а на самом деле…
Зачем мне куча разных сортов мороженого, если я хочу просто советский пломбир в стаканчике? А он вроде как устарел, и поэтому его фиг найдешь.
Та же самая история и с Вашими сервисами. Вы думаете, что их улучшаете, а на самом деле…
-2
А вот если бы вы ответили на мой вопрос, то мы бы смогли понять, чем вам нравится Лента и сохранить это.
0
Я ответил на него. Мне нравится лента абсолютно полностью в том виде, в каком она была. Со ссылкой из почты и количеством сообщений в том числе.
Подписки абсолютно не предоставляют того функционала, который предоставляла Лента, а именно возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS.
Подписки абсолютно не предоставляют того функционала, который предоставляла Лента, а именно возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS.
0
Чем Подписки отличаются от Ленты, что вам кажется, что они не предоставляют возможность без напряга просматривать в виде кратких анонсов новостные ленты по RSS?
В чём возникает напряг?
В чём возникает напряг?
0
Тем, что вы оформили Подписки аля интерфейс Почты.
Все новые письма выделяются жирным. Это приемлемо когда у меня 5-10 новых писем за раз. Но совершенно не годится для сотен сообщений в день, собраных по RSS. Все заголовки набраны мелким жирным шрифтом, и ведь по ним еще нужно кликать, чтобы получить подробности!
Все новые письма выделяются жирным. Это приемлемо когда у меня 5-10 новых писем за раз. Но совершенно не годится для сотен сообщений в день, собраных по RSS. Все заголовки набраны мелким жирным шрифтом, и ведь по ним еще нужно кликать, чтобы получить подробности!
0
Погодите, вы хотите сказать, что не видели в тулбаре кнопки «развернуть всё», которая делает раз и навсегда все сообщения развёрнутыми?
0
Скажем иначе
Отечественные компании типа mail.ru и yandex не имеют права делать https, так как товарищ майор не получит доступа — СОРМ пока SSl не умеет
Отечественные компании типа mail.ru и yandex не имеют права делать https, так как товарищ майор не получит доступа — СОРМ пока SSl не умеет
+2
Мне всегда интересно читать ваши комментарии, потому что они неизменно интригуют. Какую страну вы называете «отечеством»?
+1
зачем сорму встраиваться посреди между пользователем и почтой и расшифровывать почтовый трафик если тот же яндекс и так им все выдаст по первому требованию в лучшем виде?
0
Логика сотрудников Яндекса всегда меня удивляла, а точнее её отсутствие. Откройте новый сервис parolchik.yandex.ru (навеяно словом fotki) и выкладывайте там логины/пароли всех пользователей, а в анонсе напишете:«Теперь вам нечего бояться, вас никто не будет пытать паяльником или прищемлять пальцы дверью, чтобы узнать пароль, потому что он опубликован на нашем новом сервисе»
+15
Извините, конечно, но лично мне это напомнило недавнюю историю в духе МС:
«Да, проблема есть, да, ею можно воспользоваться, но выпускать критичное обновление мы не будем, т.к. это нарушает наш цикл выпуска обновлений».
Думаю, все помнят, что это вызвало и чем это закончилось. Так же можно вспомнить, что другой поставищик e-mail сервиса после случившегося тут же включил шифрование всего трафика для всех пользователей (при этом, шифрование странички аутентификации у них было включено и до этого инцидента.
«Да, проблема есть, да, ею можно воспользоваться, но выпускать критичное обновление мы не будем, т.к. это нарушает наш цикл выпуска обновлений».
Думаю, все помнят, что это вызвало и чем это закончилось. Так же можно вспомнить, что другой поставищик e-mail сервиса после случившегося тут же включил шифрование всего трафика для всех пользователей (при этом, шифрование странички аутентификации у них было включено и до этого инцидента.
0
о нет, не передергивайте, пожалуйста.
Мы готовим обновление (срочное) обозначенной проблемы и, как я написал выше, https — на подходе, но там все несколько серьезнее, чем просто букву s внедрить. Это вопрос недель, к сожалению.
Просто мы не обсуждаем. Мы делаем.
Мы готовим обновление (срочное) обозначенной проблемы и, как я написал выше, https — на подходе, но там все несколько серьезнее, чем просто букву s внедрить. Это вопрос недель, к сожалению.
Просто мы не обсуждаем. Мы делаем.
+2
Недели идут, грабь@воруй!
-5
Чтобы включить передачу трафика по https нужно несколько недель?
-2
Боюсь, это сложно объяснить человеку «вне контекста» архитектуры сервиса.
Да, нужно несколько недель и достаточно заметные переделки — понять это, не понимая, как и что тут устроено — почти нереально. Простите.
Да, нужно несколько недель и достаточно заметные переделки — понять это, не понимая, как и что тут устроено — почти нереально. Простите.
0
Если кратко, то сам по себе https добавляет мало безопасности, если процесс логина происходит по https (а у нас именно так). Но, переработав некоторые элементы портальной авторизации и некоторые подходы к хранению и передаче данных, можно получить от внедрения https действительно большой профит.
Вот нам и хочется сделать не быструю отмазку, а реальную пользу.
Вот нам и хочется сделать не быструю отмазку, а реальную пользу.
+3
Слава богу, что я не являюсь пользователем яндекса. Но если бы являлся — то после этого поста это был бы мой последний день его использования.
-1
Почему, можете объяснить?
+1
UFO just landed and posted this here
тут дело не в идеальности сервиса а в отношении к клиентам
+1
UFO just landed and posted this here
Хочу защитить саппорт Яндекса. Они ответ на любое письмо об ошибке отвечают через несколько часов, если это небольшая проблема.
А месяц назад со мной произошел случай — в Гуглохроме ни с того ни с сего начала разваливаться верстка ЯндексоПочты (с разных компьютеров), о чем я и написал в саппорт. Через несколько дней пришел ответ — «Ваша проблема устранена?» с кодом ошибки. И проблемы больше не было.
А месяц назад со мной произошел случай — в Гуглохроме ни с того ни с сего начала разваливаться верстка ЯндексоПочты (с разных компьютеров), о чем я и написал в саппорт. Через несколько дней пришел ответ — «Ваша проблема устранена?» с кодом ошибки. И проблемы больше не было.
+1
UFO just landed and posted this here
Перезалейте изображения.
0
Попробовал сейчас через «классический» интерфейс добавить ящик для сбора — не дает.
0
Владик Топалов в качестве пароля — это сильно
+5
Как минимум, у двух человек в мире «Влад Топалов» на паролях — это у вышеупомянутой Кати и у самого Влада Топалова.
+4
надоели уже эти посты с припиской «у имярек нет кармы».
Нету — значит не заработал. Кончилась — сам виноват!
Пусть постит в персональный блог, или постите в профильный, но без перевода стрелок — подписались постить за другого, так и отгребайте (и плюсы, и минусы) за него.
Нету — значит не заработал. Кончилась — сам виноват!
Пусть постит в персональный блог, или постите в профильный, но без перевода стрелок — подписались постить за другого, так и отгребайте (и плюсы, и минусы) за него.
-16
«Пшшшшш…»
Да вы кипите, батенька.
И к сведению — при отрицательной карме постить нельзя. Вобще. Никуда.
Да вы кипите, батенька.
И к сведению — при отрицательной карме постить нельзя. Вобще. Никуда.
0
Ну и замечательно, на кой тогда эта карма?
-1
Кстати, наконец-то понял людей, которые видят преимущество в минусовой карме. Можно не задумываться особо о словам, принцип «кнута и пряника» в виде кармы уже почти не работает.
Единственное неудобство — что каментить можно, только раз в 5 минут, но и тут можно найти преимущства — можно писать более основательные каменты, или же что более полезно, больше времени обратить на работу. :)
Единственное неудобство — что каментить можно, только раз в 5 минут, но и тут можно найти преимущства — можно писать более основательные каменты, или же что более полезно, больше времени обратить на работу. :)
0
пользуйтесь gmail, там везде https
+11
Вот я и не пользуюсь нашими сервисами, потому что их представители вместо того, чтобы признать проблему и оперативно ее исправить, начинают размышлять о паяльниках.
0
После того как об этом рассказали чтобы все слышали, это может действительно стать проблемой :))
-1
я помню мс пыталась запретить публиковать стороннии секьюрити бюллетени про винду с такой же формулировкой :)))
0
Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:
* чтобы пользователь пользовался classic-ом
* чтобы у него были настроены сброщики
* чтобы у злоумышленника был доступ к сниффингу траффика пользователя
* чтобы пользователь попал на страницу с CSRF, сконструированную злоумышленником
Мне кажется, это весьма редкое сочетание условий. Тем не менее, проблему мы исправили.
* чтобы пользователь пользовался classic-ом
* чтобы у него были настроены сброщики
* чтобы у злоумышленника был доступ к сниффингу траффика пользователя
* чтобы пользователь попал на страницу с CSRF, сконструированную злоумышленником
Мне кажется, это весьма редкое сочетание условий. Тем не менее, проблему мы исправили.
+9
А как насчет XSS на Яндексе? Неужели нет?
0
И как наличие XSS (которые мы исправляем в день обнаружения, как правило) поможет проэксплуатировать ЭТУ проблему?
+1
Через XSS (некоторые не исправлены много лет, и появляются новые) можно получить код любой страницы, к которой пользователь имеет доступ.
т.е. сначала парсим страницу
mail.yandex.ru/classic/setup_collectors
И выдергиваем оттуда адрес типа
mail.yandex.ru/classic/setup_collectors_edit?popid=2030000000000510249
После чего отправляем на любой хост исходный код этой страницы.
т.е. сначала парсим страницу
mail.yandex.ru/classic/setup_collectors
И выдергиваем оттуда адрес типа
mail.yandex.ru/classic/setup_collectors_edit?popid=2030000000000510249
После чего отправляем на любой хост исходный код этой страницы.
0
PS. Сам обнаружил у Вас в расширенном поиске пассивную XSS совершенно случайно, что говорить о дебрях. Прожила недели две вроде, точно не помню.
0
1. А какие XSS живут годами, если не секрет?
2. Да, вы правы. Но первые два пункта это не отменяет.
2. Да, вы правы. Но первые два пункта это не отменяет.
0
Первый пункт отменяет, но сборщики действительно должны быть.
Я не взломщик, а разработчик, не занимался целенаправленно поиском XSS.
Вот тут, например, почти каждое приложение содержит в себе XSS. Еще ошибки находил на buki.yandex.ru и других местах, их легче использовать, они с GET запросами, но я не сохранил их адресов.
Я не взломщик, а разработчик, не занимался целенаправленно поиском XSS.
Вот тут, например, почти каждое приложение содержит в себе XSS. Еще ошибки находил на buki.yandex.ru и других местах, их легче использовать, они с GET запросами, но я не сохранил их адресов.
0
Кстати на mail.ru тоже самое, что про них не написали?
+6
Виноват Лебедев ;-)
-6
Интересно сколько сейчас человек проверили почту katusha1986@inbox.ru паролем vladiktopalov?
+1
Лучше напишите ей письмо =)
+2
Даешь Gmail!
0
Ну а мы, кстати, выкатили обновление, которое исправляет эту проблему.
+7
Я когда то на своей exit-ноде Tor-а много насобирал таких вот любителей проверять почту не через SSL. Любой логин по незашифрованному каналу — зло.
-1
Логин в Яндексе осуществляется через SSL.
+3
При использовании POP3, IMAP, SMTP пароль шифруется?
0
Да, на всех клиентских протоколах поддерживается TLS-авторизация, а пользоваться ей или нет — решает сам клиент, мы тут, к сожалению, за пользователя решить не можем.
Вынужден признать нашу ошибку — в help-е на скриншотах мы не отчекали галочки про то, что по-умолчанию людям рекомендуется ставить опцию «безопасная авторизация» — я уже попросил это поправить, в ближайшее время поменяем, спасибо, что обратили на это внимание.
Вынужден признать нашу ошибку — в help-е на скриншотах мы не отчекали галочки про то, что по-умолчанию людям рекомендуется ставить опцию «безопасная авторизация» — я уже попросил это поправить, в ближайшее время поменяем, спасибо, что обратили на это внимание.
+1
Sign up to leave a comment.
Ограбление по-дилетантски или о том, как Яндекс хранит пароли