Привет Вов. Очень внимательно слежу, скучаю ведь :)
Сertificate pinning(если он реализован конечно и вы действительно запоминаете issuer-ов для всех возможных MX) решает не все проблемы.
Действительно, с Intermediate CA проблем не будет, но это не решает проблемы с потенциальным доступом АНБ к корневым сертификатам, например.
Или с тем, что многие MX могут внезапно перевыпустить свой сертификат, уже через другого CA.
И кстати именно по этой причине, в современные браузеры certificate pinning не встроен, т.к. процент false positive у него неимоверно высок.
Крупные вендоры могут договориться, да, но что делать остальным?
И ты не ответил про блокировку STARTTLS ;) Что будет, если DPI у магистральщика будет «отменять TLS», провоцируя downgrade до plaintext? Не можете же вы не доставлять письма.
Ребят, ценность этого шифрования близка или равна нулю. Нарисуйте там чёрного человечка, между красным человечком и синим, и поймете почему.
1) Магистральному провайдеру достаточно встать MITM-ом и для отдавать smtp Яндекса фейковые пакетики что удалённый MX не умеет STARTTLS, и всё. Что вы почту доставлять не будете? Да нет, вы просто пойдёте по старинке, plain-text-ом.
2) Ничто, и никто не мешает магистральному провайдеру подсовывать для ваших smtp сертификаты, подписанные купленым Intermediate CA(аналогичных используемым в DPI) или каким-нибудь маленьким доверенным CA. И тем более, SSL никоим образом не спасает в этом месте от всяких там PКISM и прочих америкосов, кто имеет доступ внутрь больших корневых CA.
Они наверное считают, что предоставление дополнительной информации вирусописателям, сподвигнет последних к каким-то активным действиям против них.
Хотя довольно очевидно, что если тем целых 6 лет(а за этот срок можно отресерчить всё что угодно, look at SEO) было пофигу на safebrowsing, то врятли что-то координально изменится после публикации деталей.
Ну или банальный страх за то, что кто то осилит повторять их подвиги, и искренняя вера в NDA :)
Вы как-то про устройство по сути и не рассказали, 6 лет прошло а воз и ныне там. Один маркетинг да статистика. Гугл, например, через полгода после запуска отрепортился довольно подробным whitepaper-ом.
Те кто хотели или кому нужно, они уже и так в курсе деталей, а всем остальным людям будет вполне интересно послушать про архитектуру.
На mail.ru все формы авторизации ведут на https, там все ок.
Тот факт, что сама форма авторизации находится на http:// — это действительно проблема, но проблема присутствующая вообще везде, на любом сервисе, и лечить её нужно на уровне браузеров.
Браузер, по дефолту(вбиваете mail.ru или gmail.com в адресную строку), должен идти сперва на https версию сервиса, а уже при отсутствии оного, пробовать http. Почитайте про sslstrip.
Ну и обозначеная вами проблема малвари, вообще никакого отношения к https не имеет.
Если на машине пользователя есть малварь, то для неё не составит никакого труда поставить вам свой фейковый CAв ОС, или просто перехучить методы работы с https в браузере.
А вайпи, вайпи где? Я его последний раз в НСК видел, много много лет назад :( Говорят что мол тоже бизнесмен, вроде как толи бизнес отца возглавил, толи еще что.
Только сейчас умудрился посмотреть на ник: «3APA3A, Vladimir Dubrovin».
Беру все свои слова обратно и самоустраняюсь :) grats from nerf and конкуренты.
p.s. Не знаю что умудрился сделать mail.ru для того чтобы тебя перехантить, но в этом они молодцы, да.
Не зла ради, а фана для. Ребят, я описал самые простые и довольно типичные для вас уязвимости, их сотни. Наймите уже аналитиков и организуйте у себя нормальное тестирование ИБ.
И рекомендовать ставить NoScript для защиты от XSS — это смешно, простите :)
Просто как proof of concept: угадайте, а кто таки надавил на ссылку в моём посте, и поставил таки себе кофейную тему, и отдал таки свои cookie, и не ставил таки себе NoScript(SIC!)?
Правильно, это сотрудники Mail.ru! C почтовыми адресами corp.mail.ru:
0) Прямо на главной странице почты(да ни на главное странице тоже) у вас раскрытие исходного кода с внутренним комментом:
~~~ Редактировать только руками ~~~
— (Думать только головой) — Итак, подумаем головой:
1) А поставим ка мы всем посещающим эту страницу людям кофейную тему в их почте, при помощи CSRF коих у вас мильон.
Ну например с помощью этой картинки:
2) А потырим ка мы чужие авторизационные cookie: тыц
Да, XSS, и да В GET параметрах предназначеных для(SIC!) защиты от CSRF.
3) И наверное по причине большой безопасности в Flash cross-domain policy файлике(http://rs.mail.ru/crossdomain.xml) вы разрешаете красть чужую почту с любых сайтов.
4) Или позволяете проводить http response splitting атаки например на af[1-9+].mail.ru/cgi-bin/readmsg через GET параметр «ct». Чужие куки тоже крадутся, да.
5) Почта у вас за https, это круто. Но рекомендую почитать про secure флаг cookies. Достаточно средиректить пользователя на anything.mail.ru и мы получаем нужную авторизацию.
Я мог бы продолжать бесконечно, но выделенные на вас полчаса к сожалению закончились.
BTW, я его спросил как раз об этой картинке в посте, и вообще о странных отзывах о Zynga(что мол там людей в рабов превращают и т.п.) его ответ:
— Great! Funny you ask, I answer that question pretty frequently. ;-) It's actually fairly easy to discuss. Glassdoor is not the best tool with which to evaluate a company, rather a better way would be to
ask questions of current happy employees (like myself) rather than employees who joined and/or left the company when we were a VERY young start-up where work life balance was much more of an issue. It's
true that work-life balance has been an issue for us. When we were just starting out and going from less than 10 employees and then adding staff and jobs and work at an unimaginable clip people were
pushed much harder as we scaled from $0 revenue to 1 billion + in revenue. I'm not sure anyone has ever managed to do that in just 4 years before and in the early couple years before we were able to get
enough people working on jobs and projects people were pushed pretty hard. It was a matter of just not having enough brilliant people to keep up with the growth. We've begun to address that over the
last 12 months t
hough and I'm happy to say that we're MUCH better at it today for a number of reasons. 1, hiring has increased to where we're much closer to work/worker balance. We've gone from 500 employees in early
2010 to 2200 employees today. We have much more capacity and people are not having to cover nearly as much ground by themselves. We've also made a very conscious effort to listen to our employee
feedback and take steps to build a much stronger culture of work-life balance.
I believe that if you were to check Glass Door in a couple of years you'd see much different statistics. :-)
Cheers,
Mat Connot
Recruiter, Zynga
mconnot@zynga.com | Skype ID: mathias.connot
Случайно попал на этих рекрутеров в Москве. Все было примерно так-же как у вас, только в последний день(в пятницу помоему) и в ускореном темпе. После — Skype собеседование. Результат:
— Hi Dmitry,
Great news! I've heard back from Jonathan and the team would like to fly you to San Francisco to interview for a developer role on the security team. Interested?
If so, I think it'd be good for us to have a conversation about more of what you're actually looking for in terms of responsibilities and compensation so that we can be sure we have the right position
for you.
Let me know your thoughts and we'll see what we can do to get this moving forward. :-)
Cheers,
Mat Connot
Recruiter, Zynga
mconnot@zynga.com | Skype ID: mathias.connot
— Но загран в в моей любимой стране делается уже третий месяц…
Пост определенно достоин премии дарвинаК.О.
Дим, советую написать по такому-же про Google toolbar, Chrome, Apple, Android, IE… хорошо попиаришься, пока тема с Мегафоном горячая.
Сertificate pinning(если он реализован конечно и вы действительно запоминаете issuer-ов для всех возможных MX) решает не все проблемы.
Действительно, с Intermediate CA проблем не будет, но это не решает проблемы с потенциальным доступом АНБ к корневым сертификатам, например.
Или с тем, что многие MX могут внезапно перевыпустить свой сертификат, уже через другого CA.
И кстати именно по этой причине, в современные браузеры certificate pinning не встроен, т.к. процент false positive у него неимоверно высок.
Крупные вендоры могут договориться, да, но что делать остальным?
И ты не ответил про блокировку STARTTLS ;) Что будет, если DPI у магистральщика будет «отменять TLS», провоцируя downgrade до plaintext? Не можете же вы не доставлять письма.
1) Магистральному провайдеру достаточно встать MITM-ом и для отдавать smtp Яндекса фейковые пакетики что удалённый MX не умеет STARTTLS, и всё. Что вы почту доставлять не будете? Да нет, вы просто пойдёте по старинке, plain-text-ом.
2) Ничто, и никто не мешает магистральному провайдеру подсовывать для ваших smtp сертификаты, подписанные купленым Intermediate CA(аналогичных используемым в DPI) или каким-нибудь маленьким доверенным CA. И тем более, SSL никоим образом не спасает в этом месте от всяких там PКISM и прочих америкосов, кто имеет доступ внутрь больших корневых CA.
Вобщем байки это всё, с человечками :)
Хотя довольно очевидно, что если тем целых 6 лет(а за этот срок можно отресерчить всё что угодно, look at SEO) было пофигу на safebrowsing, то врятли что-то координально изменится после публикации деталей.
Ну или банальный страх за то, что кто то осилит повторять их подвиги, и искренняя вера в NDA :)
Те кто хотели или кому нужно, они уже и так в курсе деталей, а всем остальным людям будет вполне интересно послушать про архитектуру.
Тот факт, что сама форма авторизации находится на http:// — это действительно проблема, но проблема присутствующая вообще везде, на любом сервисе, и лечить её нужно на уровне браузеров.
Браузер, по дефолту(вбиваете mail.ru или gmail.com в адресную строку), должен идти сперва на https версию сервиса, а уже при отсутствии оного, пробовать http. Почитайте про sslstrip.
Ну и обозначеная вами проблема малвари, вообще никакого отношения к https не имеет.
Если на машине пользователя есть малварь, то для неё не составит никакого труда поставить вам свой фейковый CAв ОС, или просто перехучить методы работы с https в браузере.
Вот тут: 0x0a.net/redir.txt — полный список зараженных этим .htaccess-ом урлов.
Беру все свои слова обратно и самоустраняюсь :) grats from nerf and конкуренты.
p.s. Не знаю что умудрился сделать mail.ru для того чтобы тебя перехантить, но в этом они молодцы, да.
И рекомендовать ставить NoScript для защиты от XSS — это смешно, простите :)
Просто как proof of concept: угадайте, а кто таки надавил на ссылку в моём посте, и поставил таки себе кофейную тему, и отдал таки свои cookie, и не ставил таки себе NoScript(SIC!)?
Правильно, это сотрудники Mail.ru! C почтовыми адресами corp.mail.ru:
0) Прямо на главной странице почты(да ни на главное странице тоже) у вас раскрытие исходного кода с внутренним комментом:
~~~ Редактировать только руками ~~~
— (Думать только головой) — Итак, подумаем головой:
1) А поставим ка мы всем посещающим эту страницу людям кофейную тему в их почте, при помощи CSRF коих у вас мильон.
Ну например с помощью этой картинки:
2) А потырим ка мы чужие авторизационные cookie: тыц
Да, XSS, и да В GET параметрах предназначеных для(SIC!) защиты от CSRF.
3) И наверное по причине большой безопасности в Flash cross-domain policy файлике(http://rs.mail.ru/crossdomain.xml) вы разрешаете красть чужую почту с любых сайтов.
4) Или позволяете проводить http response splitting атаки например на af[1-9+].mail.ru/cgi-bin/readmsg через GET параметр «ct». Чужие куки тоже крадутся, да.
5) Почта у вас за https, это круто. Но рекомендую почитать про secure флаг cookies. Достаточно средиректить пользователя на anything.mail.ru и мы получаем нужную авторизацию.
Я мог бы продолжать бесконечно, но выделенные на вас полчаса к сожалению закончились.
— Great! Funny you ask, I answer that question pretty frequently. ;-) It's actually fairly easy to discuss. Glassdoor is not the best tool with which to evaluate a company, rather a better way would be to
ask questions of current happy employees (like myself) rather than employees who joined and/or left the company when we were a VERY young start-up where work life balance was much more of an issue. It's
true that work-life balance has been an issue for us. When we were just starting out and going from less than 10 employees and then adding staff and jobs and work at an unimaginable clip people were
pushed much harder as we scaled from $0 revenue to 1 billion + in revenue. I'm not sure anyone has ever managed to do that in just 4 years before and in the early couple years before we were able to get
enough people working on jobs and projects people were pushed pretty hard. It was a matter of just not having enough brilliant people to keep up with the growth. We've begun to address that over the
last 12 months t
hough and I'm happy to say that we're MUCH better at it today for a number of reasons. 1, hiring has increased to where we're much closer to work/worker balance. We've gone from 500 employees in early
2010 to 2200 employees today. We have much more capacity and people are not having to cover nearly as much ground by themselves. We've also made a very conscious effort to listen to our employee
feedback and take steps to build a much stronger culture of work-life balance.
I believe that if you were to check Glass Door in a couple of years you'd see much different statistics. :-)
Cheers,
Mat Connot
Recruiter, Zynga
mconnot@zynga.com | Skype ID: mathias.connot
— Hi Dmitry,
Great news! I've heard back from Jonathan and the team would like to fly you to San Francisco to interview for a developer role on the security team. Interested?
If so, I think it'd be good for us to have a conversation about more of what you're actually looking for in terms of responsibilities and compensation so that we can be sure we have the right position
for you.
Let me know your thoughts and we'll see what we can do to get this moving forward. :-)
Cheers,
Mat Connot
Recruiter, Zynga
mconnot@zynga.com | Skype ID: mathias.connot
— Но загран в в моей любимой стране делается уже третий месяц…
дарвинаК.О.Дим, советую написать по такому-же про Google toolbar, Chrome, Apple, Android, IE… хорошо попиаришься, пока тема с Мегафоном горячая.