Comments 13
Цитата: «поэтому его отключение в клиенте или на сервере (или с обеих сторон) позволяет полностью избежать неприятностей. Если хотя бы одна сторона поддерживает только SSL 3.0, то здесь медицина бессильна»
вводит в ступор. Так достаточно отключения на одной из сторон или нет?
вводит в ступор. Так достаточно отключения на одной из сторон или нет?
Да, полностью отключенный SSL 3.0 в клиенте или на сервере не позволит хакеру провести атаку.
Потому что стороны никогда не начнут общение по этой версии протокола.
Но если какая-то из сторон (клиент или сервер) поддерживает только SSL версии 3.0, то требуется обновление — потому что если отключить на другой стороне SSL 3.0, то они просто не смогут установить соединение.
То есть, исправить уязвимость со стороны сервера можно, но ценой того, что клиенты, умеющие только SSL 3.0 перестанут работать совсем.
Потому что стороны никогда не начнут общение по этой версии протокола.
Но если какая-то из сторон (клиент или сервер) поддерживает только SSL версии 3.0, то требуется обновление — потому что если отключить на другой стороне SSL 3.0, то они просто не смогут установить соединение.
То есть, исправить уязвимость со стороны сервера можно, но ценой того, что клиенты, умеющие только SSL 3.0 перестанут работать совсем.
На работе через GPO всем отключили SSL3.
И туже отвалились два Банк клиента, Один из них всемирно известный банк.
Прям даже не знаю показывать ли пальцем?
А у второго вообще рейтинг безопасности https — F в ssllab.com.
И туже отвалились два Банк клиента, Один из них всемирно известный банк.
Прям даже не знаю показывать ли пальцем?
А у второго вообще рейтинг безопасности https — F в ssllab.com.
Есть еще одна защитная мера если хочется оставить SSLv3 — на стороне сервера накатить патч, который позволит использовать RC4 только для SSLv3, и включить RC4. Практическая эксплуатация уязвимости в RC4 намного сложнее чем POODLE.
Послушайте, какая нахрен «защита данных»,
Основной мой посыл – о какой «защите данных» вы можете говорить, когда все данные могут быть потеряны из-за бессмысленной блокировки аккаунта без возможности нормального восстановления?
гневный хейт в адрес идиотов из мейлру
когда вы, во-первых, сначала мой ящик заблокировали вообще без причины и потребовали кучу данных «указанных при регистрации» (несмотря на то, что при регистрации много лет назад я никакие данные не указывал) и отказывались что-либо делать, присылая стандартные отписки. Помогла только несколькодневная ругань с их твиттер-аккаунтом.
Потом заблокировали мой второй ящик, опять же, без причины. Я их послал и забил на ящик, т.к. почти не пользовался им.
Теперь у моей жены взломали старый ящик на мейлру, стали отправлять с него спам. В тот же день мы сменили пароль. Доблестный мейлру взял и заблокировал ящик. И снова требует заполнить огромную форму, ввести кучу данных, включая пароли, адреса, телефоны и т.д. и т.п.
НАХРЕНА, блин? Как только ящик будет разблокирован, все сервисы, которые были на этот ящик зарегистрированы, будут переведены на нормальную почту, а этот ящик удалён.
Потом заблокировали мой второй ящик, опять же, без причины. Я их послал и забил на ящик, т.к. почти не пользовался им.
Теперь у моей жены взломали старый ящик на мейлру, стали отправлять с него спам. В тот же день мы сменили пароль. Доблестный мейлру взял и заблокировал ящик. И снова требует заполнить огромную форму, ввести кучу данных, включая пароли, адреса, телефоны и т.д. и т.п.
НАХРЕНА, блин? Как только ящик будет разблокирован, все сервисы, которые были на этот ящик зарегистрированы, будут переведены на нормальную почту, а этот ящик удалён.
Основной мой посыл – о какой «защите данных» вы можете говорить, когда все данные могут быть потеряны из-за бессмысленной блокировки аккаунта без возможности нормального восстановления?
p.s. если кто-нибудь из мейл.ру прочитает это и сможет адекватно, а не дефолтной отпиской, ответить – было бы очень здорово.
p.p.s. простите за оффтопик.
p.p.s. простите за оффтопик.
«Бессмысленных» блокировок аккаунтов не бывает: в каждом случае существует конкретная причина, и наша цель – это действительно защита данных пользователей. Теперь по пунктам.
Первый ящик никогда не блокировался. Была необходимость восстановить пароль, поскольку Вы его забыли. В таких случаях мы всегда запрашиваем у пользователя большое количество информации. Мы понимаем, почему это может вызвать раздражение, но это необходимое зло, ведь мы должны удостовериться, что пароль восстанавливает именно владелец ящика, а не кто-либо другой. Что касается Вашего второго ящика и ящика Вашей жены – с обоих была зафиксирована подозрительная активность, которая позволяла допустить, что доступ к аккаунтам получил злоумышленник. Именно поэтому они были заблокированы. Однако, к сожалению, в случае с ящиком Вашей жены блокировка действительно сработала с задержкой и произошла уже после того, как Вы сменили пароль. Приносим за это извинения, мы работаем над улучшением этой системы. Пожалуйста, проявите терпение и понимание и все-таки заполните форму для восстановления пароля.
Первый ящик никогда не блокировался. Была необходимость восстановить пароль, поскольку Вы его забыли. В таких случаях мы всегда запрашиваем у пользователя большое количество информации. Мы понимаем, почему это может вызвать раздражение, но это необходимое зло, ведь мы должны удостовериться, что пароль восстанавливает именно владелец ящика, а не кто-либо другой. Что касается Вашего второго ящика и ящика Вашей жены – с обоих была зафиксирована подозрительная активность, которая позволяла допустить, что доступ к аккаунтам получил злоумышленник. Именно поэтому они были заблокированы. Однако, к сожалению, в случае с ящиком Вашей жены блокировка действительно сработала с задержкой и произошла уже после того, как Вы сменили пароль. Приносим за это извинения, мы работаем над улучшением этой системы. Пожалуйста, проявите терпение и понимание и все-таки заполните форму для восстановления пароля.
Спасибо за ответ и расследование!
Ок, первый не блокировался, но процедура та же самая. Зачем «подтверждать личность», когда у меня уже был полный доступ к ящику – я не понимаю в принципе. Какая-то абсолютно бессмысленная и глупая бюрократия.
И это не говоря уже о том, что ящик создавался очень давно и подавляющего большинства данных там тупо не было изначально. А если и были (например, какие-то «обязательные» поля) – то, само собой, были заполнены фейковыми данными.
На мой второй ящик я уже забил, там не было ничего настолько полезного. На ящик жены заполнили анкету на выходных, но, кажется, до сих пор тишина.
И, главная мысль, которую я однажды всё-таки смог донести до моего банка (!), что безопасность, мешающая пользоваться самому владельцу, приносит вреда НАМНОГО больше, чем какой бы то ни было взлом.
Не понимаю, почему банк, в котором мои деньги, согласился со этим, а почтовый сервис, где всего-то переписка и некоторые регистрационные данные, считает, что он лучше знает, что мне нужно.
Сделайте, что ли, опциональную галочку «я отказываюсь от системы безопасности и соглашаюсь с тем, что данные моего аккаунта могут попасть не в те руки».
Всю жизнь хватало стандартной связки логин-пароль-«секретный вопрос» (либо какой-то другой контакт). А тут даже с привязанным телефоном блокируется…
Ок, первый не блокировался, но процедура та же самая. Зачем «подтверждать личность», когда у меня уже был полный доступ к ящику – я не понимаю в принципе. Какая-то абсолютно бессмысленная и глупая бюрократия.
И это не говоря уже о том, что ящик создавался очень давно и подавляющего большинства данных там тупо не было изначально. А если и были (например, какие-то «обязательные» поля) – то, само собой, были заполнены фейковыми данными.
На мой второй ящик я уже забил, там не было ничего настолько полезного. На ящик жены заполнили анкету на выходных, но, кажется, до сих пор тишина.
И, главная мысль, которую я однажды всё-таки смог донести до моего банка (!), что безопасность, мешающая пользоваться самому владельцу, приносит вреда НАМНОГО больше, чем какой бы то ни было взлом.
Не понимаю, почему банк, в котором мои деньги, согласился со этим, а почтовый сервис, где всего-то переписка и некоторые регистрационные данные, считает, что он лучше знает, что мне нужно.
Сделайте, что ли, опциональную галочку «я отказываюсь от системы безопасности и соглашаюсь с тем, что данные моего аккаунта могут попасть не в те руки».
Всю жизнь хватало стандартной связки логин-пароль-«секретный вопрос» (либо какой-то другой контакт). А тут даже с привязанным телефоном блокируется…
Sign up to leave a comment.
Этот пудель кусается: использование дыр в протоколе SSL 3.0