Comments 54
Кстати такой вопрос — длина пароля на ICQ до сих пор 8 символов?
Вопрос, на самом деле хороший, но не в тему поста, попрошу коллег из ICQ ответить.
Быстрый поиск по define MAXICQPASSLEN показывает, что скорее всего да. И более того, если его просто увеличить, то как минимум Pidgin и Aim сломаются. Думаю, это отвечает на следующий вопрос.
Быстрый поиск по define MAXICQPASSLEN показывает, что скорее всего да. И более того, если его просто увеличить, то как минимум Pidgin и Aim сломаются. Думаю, это отвечает на следующий вопрос.
Pidgin? враки — Icq поле пароля принимает более 10 символов (на учетке не проверял -нет icq).
в jabber учетке pidgin — стоит пароль 10 символов — все ок.
в jabber учетке pidgin — стоит пароль 10 символов — все ок.
Принимает — да, но использует первые 8. Посмотрите сорсы libpurple, которая входит в состав Pidgin, файлы protocols/oscar/oscar.h, protocols/oscar/familiy_icq.c.
#define MAXICQPASSLEN 8
…
if (passwdlen > MAXICQPASSLEN)
passwdlen = MAXICQPASSLEN;
Это не проблема Pidgin, это проблема протокола, которая унаследована вместе с ICQ и решить ее можно только изменив протокол (и поломав совместимость с существующими клиентами).
Но знаете, я про ICQ могу сказать не больше любого другого человека, который может поискать сорсы в интернетах. Лучше задать вопрос по планам относительно протокола разработчикам ICQ.
#define MAXICQPASSLEN 8
…
if (passwdlen > MAXICQPASSLEN)
passwdlen = MAXICQPASSLEN;
Это не проблема Pidgin, это проблема протокола, которая унаследована вместе с ICQ и решить ее можно только изменив протокол (и поломав совместимость с существующими клиентами).
Но знаете, я про ICQ могу сказать не больше любого другого человека, который может поискать сорсы в интернетах. Лучше задать вопрос по планам относительно протокола разработчикам ICQ.
Здравствуйте мне помог Игорь со страницей моего супруга и его почтой, мне посоветовала его подружка пароль и логин даже не изменился и через 10 минут уже все видела, вот его электронный адрес может и вам поможет mr.arkhiv@inbox.ru )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
Хороший и правильный пост, объясняющий главный вопрос «зачем крадут почту». Для IT-сообщества он, возможно, не так актуален, а вот прочитать его своим родственникам, не имеющим непосредственного отношения к IT я дам.
«на атаки с помощью социальной инженерии клюет порядка 80% женщин и 60% мужчин»
Т.е. один из методов снизить вероятность попасться на фишинг — это смена пола.
Т.е. один из методов снизить вероятность попасться на фишинг — это смена пола.
Хорошим вариантом было бы использование ответов на секретные вопросы, никак не коррелирующих с самими вопросами. Например, в девичью фамилию матери вписывать любимое блюдо. А еще лучше вписать туда такой же сложный пароль, как и ваш пароль. Только придется записывать. И не в текстовый файлик, а в зашифрованный архив, например.
да, тоже хотела про это написать. Оказывается, я изобрела велосипед :) У меня есть некий единственный нетривиальный пароль из букв и цифр, не использующийся ни в каких аккаунтах. Но во всех случаях, где требуется ввести ответ на секретный вопрос, я просто тупо выбираю первый вопрос, из списка, даже не читая его и ввожу ответом этот пароль.
Не самый правильный вариант, кстати. Если пароли все-таки в большинстве случаев хранят в виде хэешей, то ответы на секретные вопросы могут хранить и в открытом тексте. Если с какого-нибудь форума уведут базу эккаунтов, где будет ответ на секретный вопрос в открытом тексте, то есть возможность остаться без всех учеток сразу.
Предвидя вопрос: мы секретные ответы перед хранением нормализуем, солим и хэшируем.
Предвидя вопрос: мы секретные ответы перед хранением нормализуем, солим и хэшируем.
Я ни разу не встречала форума, где требовали ответ на секретный вопрос. Обычно на форумах пароль просто ресетят через почту.
Просто «форум», это может быть что угодно. Например, тикетная система поддержки любого сервиса, которым вы ежедневно пользуетесь.
И по вашему решению — на самом деле это довольно популярно, отвечать на эти вопросы что-то своё, не имеющее отношение к вопросу. Наверное, даже популярнее дат.
Oops. Кто тему поднял?..
И по вашему решению — на самом деле это довольно популярно, отвечать на эти вопросы что-то своё, не имеющее отношение к вопросу. Наверное, даже популярнее дат.
Oops. Кто тему поднял?..
Обязательно буду давать почитать родственникам, иначе устал объяснять, почему их постоянно ломают и как от этого защититься.
Мне вот интересно, а у mail.ru до сих пор работает фишка, что если нет логина в почту в течении 6 месяцев (вроде 6 было, если не ошибаюсь), то все данные об аккаунте удаляются и можно на тот же логин зарегистрировать новую почту? Был случай, что в стороннем сервисе забыл пароль, а он был зарегистрирован на почту mail.ru, так пришлось заново создавать ящик, в который очень редко заходил, чтобы восстановить пароль.
Нет, сейчас учетная запись продолжает храниться и восстановить доступ к ящику может только прежний хозяин.
Спасибо, за информацию. Из-за этой «особенности» всех отговаривал использовать mail.ru, в качестве почты, предлагая, в качестве альтернативы кого-угодно. Теперь буду держать нейтралитет.
Но письма вы при этом через полгода всё равно удаляете?
Ваш почтовый ящик whatever@mail.ru заблокирован за неиспользование в течение 6 месяцев. Если в ближайшее время Вы не разблокируете ящик, то мы будем вынуждены удалить все его содержимое (письма, адреса, настройки и пр.) без возможности восстановления!
Через полгода блокируется прием новых писем, далее ящик может быть удален.
Тогда, получается, уведомление об этом дезинформирует пользователя.
P.S. Да и что такое «ближайшее время» тоже не уточняется.
P.S. Да и что такое «ближайшее время» тоже не уточняется.
Почему? Все именно так, как в уведомлении. Ящик в настоящий момент заблокирован, но содержимое на месте, при восстановлении ящика письма останутся на месте. Со временем, если пользователь не войдет в ящик, будет удалено содержимое и настройки (но не сама учетная запись).
«Ближайшее время» не уточняется, потому что реальное время удаления может варьироваться при необходимости.
«Ближайшее время» не уточняется, потому что реальное время удаления может варьироваться при необходимости.
А, ну вот, это я и хотел уточнить. Получается, что если пользователь не пользуется почтовым ящиком некоторое время (больше полугода, но сколько именно — не уточняется), то вы удаляете его содержимое. Лично мне кажется, что это неправильно, и как раз является достаточно серьёзным поводом советовать друзьям пользоваться другими сервисами, но не mail.ru. Но это лично моё мнение. :)
P.S. А ещё вы не доставляете пользователям письма с backgrounddating.com (rDNS-запись есть, DKIM-подписи сейчас нет).
P.S. А ещё вы не доставляете пользователям письма с backgrounddating.com (rDNS-запись есть, DKIM-подписи сейчас нет).
Помню как в коаксиальной сетке снифал пароли маил.ру которые тогда обычным текстом передавались. Год этак 2002-й кажется, студенческие забавы.
Безопасность говорите? Да ну!
0) Прямо на главной странице почты(да ни на главное странице тоже) у вас раскрытие исходного кода с внутренним комментом:
~~~ Редактировать только руками ~~~
— (Думать только головой) — Итак, подумаем головой:
1) А поставим ка мы всем посещающим эту страницу людям кофейную тему в их почте, при помощи CSRF коих у вас мильон.
Ну например с помощью этой картинки:
2) А потырим ка мы чужие авторизационные cookie: тыц
Да, XSS, и да В GET параметрах предназначеных для(SIC!) защиты от CSRF.
3) И наверное по причине большой безопасности в Flash cross-domain policy файлике(http://rs.mail.ru/crossdomain.xml) вы разрешаете красть чужую почту с любых сайтов.
4) Или позволяете проводить http response splitting атаки например на af[1-9+].mail.ru/cgi-bin/readmsg через GET параметр «ct». Чужие куки тоже крадутся, да.
5) Почта у вас за https, это круто. Но рекомендую почитать про secure флаг cookies. Достаточно средиректить пользователя на anything.mail.ru и мы получаем нужную авторизацию.
Я мог бы продолжать бесконечно, но выделенные на вас полчаса к сожалению закончились.
0) Прямо на главной странице почты(да ни на главное странице тоже) у вас раскрытие исходного кода с внутренним комментом:
~~~ Редактировать только руками ~~~
— (Думать только головой) — Итак, подумаем головой:
1) А поставим ка мы всем посещающим эту страницу людям кофейную тему в их почте, при помощи CSRF коих у вас мильон.
Ну например с помощью этой картинки:
2) А потырим ка мы чужие авторизационные cookie: тыц
Да, XSS, и да В GET параметрах предназначеных для(SIC!) защиты от CSRF.
3) И наверное по причине большой безопасности в Flash cross-domain policy файлике(http://rs.mail.ru/crossdomain.xml) вы разрешаете красть чужую почту с любых сайтов.
4) Или позволяете проводить http response splitting атаки например на af[1-9+].mail.ru/cgi-bin/readmsg через GET параметр «ct». Чужие куки тоже крадутся, да.
5) Почта у вас за https, это круто. Но рекомендую почитать про secure флаг cookies. Достаточно средиректить пользователя на anything.mail.ru и мы получаем нужную авторизацию.
Я мог бы продолжать бесконечно, но выделенные на вас полчаса к сожалению закончились.
Да, спасибо, проверим и поправим.
Ошибки связанные с функционированием самой почты были, есть, и, как ни печально, в ближайшее время будут. Это понимают все разработчики софта. Да, мы отлавливаем их и стараемся менять и планировать новую архитектуру почты так, чтобы допускать их меньше. И раз Вы так внимательно за ними следите, то согласитесь, что стало лучше, чем было, например, год назад.
В некоторых случаях мы завязаны на другие проекты, например для secure-флага требуется чтобы связанные проекты реализовали поддержку https. Проект files, например, реализовал поддержку https в конце февраля, так что да, мы об этом знаем и работаем.
Как было сказано чуть выше, для пользователя есть способы защиты и от этих ошибок, но с определенными сайд-эффектами которые надо понимать. В частности, привязка сессии к IP адресу (есть в настройках безопасности) помогает во многих случаях защититься от воровства кук. Установка плагинов типа NotScript/NoJS во многих случах (в частности в Вашем примере) спасает от XSS.
А если хотите продолжать, то, повторюсь, мы с удовольствием примем на работу специалистов по безопасности, присылайте резюме.
Ошибки связанные с функционированием самой почты были, есть, и, как ни печально, в ближайшее время будут. Это понимают все разработчики софта. Да, мы отлавливаем их и стараемся менять и планировать новую архитектуру почты так, чтобы допускать их меньше. И раз Вы так внимательно за ними следите, то согласитесь, что стало лучше, чем было, например, год назад.
В некоторых случаях мы завязаны на другие проекты, например для secure-флага требуется чтобы связанные проекты реализовали поддержку https. Проект files, например, реализовал поддержку https в конце февраля, так что да, мы об этом знаем и работаем.
Как было сказано чуть выше, для пользователя есть способы защиты и от этих ошибок, но с определенными сайд-эффектами которые надо понимать. В частности, привязка сессии к IP адресу (есть в настройках безопасности) помогает во многих случаях защититься от воровства кук. Установка плагинов типа NotScript/NoJS во многих случах (в частности в Вашем примере) спасает от XSS.
А если хотите продолжать, то, повторюсь, мы с удовольствием примем на работу специалистов по безопасности, присылайте резюме.
Не зла ради, а фана для. Ребят, я описал самые простые и довольно типичные для вас уязвимости, их сотни. Наймите уже аналитиков и организуйте у себя нормальное тестирование ИБ.
И рекомендовать ставить NoScript для защиты от XSS — это смешно, простите :)
Просто как proof of concept: угадайте, а кто таки надавил на ссылку в моём посте, и поставил таки себе кофейную тему, и отдал таки свои cookie, и не ставил таки себе NoScript(SIC!)?
Правильно, это сотрудники Mail.ru! C почтовыми адресами corp.mail.ru:
И рекомендовать ставить NoScript для защиты от XSS — это смешно, простите :)
Просто как proof of concept: угадайте, а кто таки надавил на ссылку в моём посте, и поставил таки себе кофейную тему, и отдал таки свои cookie, и не ставил таки себе NoScript(SIC!)?
Правильно, это сотрудники Mail.ru! C почтовыми адресами corp.mail.ru:
Так а в чем фан?
Да, XSS работает именно так.
Да, можно найти ошибку в приложении. Я в таких случаях сообщаю разработчику приложений, чего и Вам порекомендовал бы. А вот найти, что ошибок нет, к сожалению, практически невозможно для более-менее крупного куска кода.
NotScript/NoJS помимо отключения JS имеет функционал предотвращения XSS ошибок. Так же встроенный функционал имеют Chrome и Internet Explorer, в них Ваш пример тоже не работает. Это не гарантирует защиту, но это лучше, чем ничего и иногда спасает.
Да, защита работает если она есть и не работает, если ее нет. Статья была посвящена именно этому.
Да, корпоративные пользователи — это пользователи, даже если они разработчики. Поэтому и им статья тоже адресована.
Да, XSS работает именно так.
Да, можно найти ошибку в приложении. Я в таких случаях сообщаю разработчику приложений, чего и Вам порекомендовал бы. А вот найти, что ошибок нет, к сожалению, практически невозможно для более-менее крупного куска кода.
NotScript/NoJS помимо отключения JS имеет функционал предотвращения XSS ошибок. Так же встроенный функционал имеют Chrome и Internet Explorer, в них Ваш пример тоже не работает. Это не гарантирует защиту, но это лучше, чем ничего и иногда спасает.
Да, защита работает если она есть и не работает, если ее нет. Статья была посвящена именно этому.
Да, корпоративные пользователи — это пользователи, даже если они разработчики. Поэтому и им статья тоже адресована.
Только сейчас умудрился посмотреть на ник: «3APA3A, Vladimir Dubrovin».
Беру все свои слова обратно и самоустраняюсь :) grats from nerf and конкуренты.
p.s. Не знаю что умудрился сделать mail.ru для того чтобы тебя перехантить, но в этом они молодцы, да.
Беру все свои слова обратно и самоустраняюсь :) grats from nerf and конкуренты.
p.s. Не знаю что умудрился сделать mail.ru для того чтобы тебя перехантить, но в этом они молодцы, да.
Ну понятно что все мы где-то будем :) Domain Hell вон в ОтветыMail.ru, например :)
nerf? билликид, вэха, кибер?
У меня сложилось впечатление, что на mail.ru прошел целенаправленный отъем коротких ящиков, судя по не желанию разбираться и отпискам техподдержки — может быть там беда случается? Чисто мое мнение но как говорится осадочек…
Последний трехбуквенный, ушел совсем не давно.
Вы видели форму восстановления — вопросы когда был зарегистрирован ящик и прочее? А если ящику более 10-ти лет?
Саппорт, не смотря на указание всего, чего только можно — с какого IP всегда заходили, последние письма такие-то от того-то, хотите пришлю и т.п. говорит — информации для восстановления доступа мало — и посылает.
Последний трехбуквенный, ушел совсем не давно.
Вы видели форму восстановления — вопросы когда был зарегистрирован ящик и прочее? А если ящику более 10-ти лет?
Саппорт, не смотря на указание всего, чего только можно — с какого IP всегда заходили, последние письма такие-то от того-то, хотите пришлю и т.п. говорит — информации для восстановления доступа мало — и посылает.
Напишите в службу поддержки как можно больше всего — ранее использованные пароли, вопросы и ответы на секретные вопросы- все, что может вас идентифицировать, как владельца. На «красивые» емейлы постоянно идут атаки с целью угнать, в т.ч. через восстановление доступа, поэтому к ним служба поддержки относится параноидально. Последние заходы и письма мало чем помогают, нужна информация о действиях, которые были сделаны до утраты ящика. Напишите что ящику более 10 лет, если не помните точную дату — это тоже информация.
Написал третий раз)))
Если вы говорите, что заходы мало чем помогают (год заходы с двух ip, потом резко с других), отправленная почта до смены учетных данных — то чем еще можно доказать владение ящиком.
Тем более, я надеюсь, даты смены пароля у вас фиксируются, и можно уже наличием смены пароля и запроса на восстановления доступа + данные принимать решение.
Тогда всем «арендаторам» почтовых ящиков на почтовых сервисах рекомендую пойти переписать все данные на них и впредь вести «журнал своих действий», ну и быть готовыми, к его потере, практически без надежд на восстановление.
Если вы говорите, что заходы мало чем помогают (год заходы с двух ip, потом резко с других), отправленная почта до смены учетных данных — то чем еще можно доказать владение ящиком.
Тем более, я надеюсь, даты смены пароля у вас фиксируются, и можно уже наличием смены пароля и запроса на восстановления доступа + данные принимать решение.
Тогда всем «арендаторам» почтовых ящиков на почтовых сервисах рекомендую пойти переписать все данные на них и впредь вести «журнал своих действий», ну и быть готовыми, к его потере, практически без надежд на восстановление.
Был опыт восстановления доступа к почте на Mail.ru лет 5 назад. (Ушёл по необходимости захода в ящик из комп. клуба института).
Можно хоть всю жизнь им написать, всё равно будет стандартная отписка, что не дадим обратно доступ. Я писал про последние письма, какие папки и т.п. у меня там есть, чуть ли не правила настроенные.
В итоге помог только контакт какого-то руководителя из Мэйла. Тогда они мне поверили и вернули пароль.
Можно хоть всю жизнь им написать, всё равно будет стандартная отписка, что не дадим обратно доступ. Я писал про последние письма, какие папки и т.п. у меня там есть, чуть ли не правила настроенные.
В итоге помог только контакт какого-то руководителя из Мэйла. Тогда они мне поверили и вернули пароль.
Спасибо еще раз!
Пойду разбирать 1300 писем спама)))
Пойду разбирать 1300 писем спама)))
Попытка вернуть ящик через службу поддержки Мейла — это, пожалуй, худшее, что было в моей жизни. Отвечают разные люди, но задают одни и те же вопросы и не читают историю переписки. Раз пятнадцать пришлось повторить всё-всё-всё, прежде чем у очередного суппортёра что-то зацепилось и он начал думать. Больше никогда и ни за что. Спасибо.
Я сижу на Gmail, и ящик у меня — самый оберегаемый ресурс. Пароль от ящика не использую больше вообще нигде, он больше 20 знаков длиной, плюс включена двухэтапная авторизация через SMS или приложение в Андроиде.
Вы молодец, но все это не гарантирует, что ящик навсегда останется с Вами. Например, про обход двухфакторной аутентификации в GMail писалось буквально на днях, опять же, при наличии троянской программы на Вашем компьютере доступ у атакующего есть везде, где есть доступ у Вас.
Не достаточно чего-то одного, все уровни защиты одинаково необходимы. Для правильной организации защиты все равно необходимо допустить возможность взлома ящика.
Не достаточно чего-то одного, все уровни защиты одинаково необходимы. Для правильной организации защиты все равно необходимо допустить возможность взлома ящика.
Почитал пост про обход. Забавно…
Но, во-первых, это косяк Гугла и мы, простые смертные, вряд ли сможем что-то сделать превентивно — только найти дырку по факту и написать в Гугл, как исследователи и сделали. Остаётся надеяться, что после этого случая в компании будут получше следить за разработкой. Во-вторых, баг ведь уже закрыли! Хотя в комментах там была здравая идея для Гугла — заставить юзера указывать, для каких целей будет применяться пароль приложения. Если ещё и это введут — будет очень здорово.
А внедрить троян в комп мало — придётся внедрить его ещё и в мой телефон, разве нет?
Но, во-первых, это косяк Гугла и мы, простые смертные, вряд ли сможем что-то сделать превентивно — только найти дырку по факту и написать в Гугл, как исследователи и сделали. Остаётся надеяться, что после этого случая в компании будут получше следить за разработкой. Во-вторых, баг ведь уже закрыли! Хотя в комментах там была здравая идея для Гугла — заставить юзера указывать, для каких целей будет применяться пароль приложения. Если ещё и это введут — будет очень здорово.
А внедрить троян в комп мало — придётся внедрить его ещё и в мой телефон, разве нет?
Во-первых, это одна из причин, почему нужно быть готовым к любой ситуации — в любом сервисе могут быть и внутренние проблемы, никто не избавлен от ошибок.
Во-вторых, доступа по POP3/IMAP вполне достаточно, чтобы получить содержимое писем. Двухфакторная авторизация защитит от угона ящика, но не защитит от доступа к письмам.
В-третьих, троянец не обязательно будет «тырить» пароли от почты, он может, например, встать как плагин к браузеру и тырить содержимое получаемых писем. А все необходимые пароли при этом Вы будете вводить сами.
Во-вторых, доступа по POP3/IMAP вполне достаточно, чтобы получить содержимое писем. Двухфакторная авторизация защитит от угона ящика, но не защитит от доступа к письмам.
В-третьих, троянец не обязательно будет «тырить» пароли от почты, он может, например, встать как плагин к браузеру и тырить содержимое получаемых писем. А все необходимые пароли при этом Вы будете вводить сами.
Всё верно. Даже не знаю, что ответить… Разве что «как страшно жить» :(
Кстати, у Гугла нигде нельзя посмотреть лог IP-адресов, с которых логинились? Так хотя бы можно было заметить левый вход по паролям приложений, поскольку домашний и рабочий IP я знаю (они статические) и тут же отозвать пароль.
Кстати, у Гугла нигде нельзя посмотреть лог IP-адресов, с которых логинились? Так хотя бы можно было заметить левый вход по паролям приложений, поскольку домашний и рабочий IP я знаю (они статические) и тут же отозвать пароль.
В правом нижнем углу под надписью «Последние действия в аккаунте» ссылка «Дополнительная информация». Коли речь идет про гугл. И смотрите себе спокойно. А еще включите информирование о подозрительной активности.
Ну жить в физическом мире гораздо страшнее, при этом совершенно не обязательно драматизировать или жить в страхе. Определенные риски можно просто допустить (гуляя с 1000 рублей в кошельке Вы не очень задумываетесь о краже — соответственно, если в почте нет важной информации, то можно и не беспокоиться, но для этого надо заблаговременно эту информацию оценить. Но кошелек при этом все равно лучше держать подальше), определенных рисков можно не допускать (вы не гуляете с миллионом долларов — так не храните информацию на миллион долларов в электронной почте, да и вообще ее на компьютере не храните). В определенных ситуациях надо просто знать что делать — как подключить уведомления об операциях по банковскому счету и что делать если пошли чужие списания, куда обращаться в случае утраты паспорта, что делать если украли кредитки — так же можно провести аналогии.
Отличный совет привязать телефон. Пошел дальше и включил двухфакторную авторизацию много лет назад. Договор на мобильный номер расторгнут. Новый мобильный номер привязан к ящику, но перевести на него авторизацию невозможно — система требует СМС со старого номера. Отключить невозможно по той же причине! Кто виноват и что делать?
Sign up to leave a comment.
Просто о безопасности почты