IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [144]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [512]
    Видеорегистраторы [188]
    Гаджеты для спорта и здоровья... [191]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [446]
    Накопители данных [233]
    Нетбуки, Ноутбуки, Ультрабуки [691]
    Мультиварки, блендеры и не только... [164]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [40]
    Своими руками [366]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4963]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [53]
    Электронные книги [102]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [109]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3983]
    mini computers и не только... [412]
    News IT, Это интересно, ликбез... [1121]
    Smart TV, UltraHD, приставки, проекторы... [416]
    Smart Watch [269]
    Sound: наушники, плееры, усилители... [619]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 103
    Гостей: 103
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2015 » Сентябрь » 22 » Недокументированная фича Mail.ru
    07:01
    Недокументированная фича Mail.ru

    Недокументированная фича Mail.ru

    Дополнение к заметке

    Со мной только что связалась пресс-служба Mail.ru и дала официальные комментарии по ситуации:

    1. Mail.ru думает над модернизацией страницы входа пользователей, объяснив пользователям что происходит в момент авторизации другой учетки.
    2. Конечно, можно много спорить о терминах и цепляться к словам, но по большому счету это действительно ничем принципиально не отличается от обычного сбора почты по IMAP, который есть у большинства почтовых сервисов, с одной лишь разницей — учетная запись хранится на серверах Mail.ru, что возможно даже иногда и безопаснее, чем хранение на компьютерах пользователей, на которых иногда бывают вирусы.
    3. Еще — важный шаг, к которому надо толкать другие почтовые сервисы, чтобы быстрее внедряли OAuth-авторизацию.

    Сервис действительно получился интересным, но неоднозначным, и, возможно, как все смелые инициативы, пугающим. Я надеюсь, что Mail.ru проведен внутреннюю работу по объяснению подобных инициатив. Отдельно хочется надеяться, что в момент подключения автосборщика до пользователей будет донесено, как именно будет использоваться их учетная запись, а также надеюсь, что у них все получится с введением OAuth-авторизации на сервисах партнеров.

    Конкуренция — это всегда хорошо!



    В ходе встречи с одним из давних клиентов, речь зашла о почтовом аккаунте и о том, что некоторые письма теряются. У него используется Яндекс.Почта для домена вида name@domain.com (но суть не в ней — это может быть любая почта).

    Я попросил его открыть почтовый ящик, чтобы проверить папку спам. Он, не моргнув глазом, заходит на сайт Mail.ru и начинает набирать свой логин и пароль. На моё указание на неверный сайт, отвечает, что всегда проверял почту именно на Mail.ru. Заподозрив неладное, на всякий случай показал ему интерфейс Яндекс.Почты, на что получил ответ, что этот сайт он видит впервые и совершенно точно всегда пользовался Mail.ru, куда он вернулся, для того, чтобы закончить ввод логина и пароля.


    Да, именно так он и набирал свою почту!

    Каково было мое удивление, когда после нажатия кнопки входа, действительно загрузились все его письма!

    Перебрав быстренько в голове возможные варианты, решил проверить.

    Ситуация выглядит следующим образом:

    1. Пользователь вводит в Mail.ru свою почту в другой почтовой системе (yandex.ru, rambler.ru, или любая другая, поддерживаемая Mail.ru)
    2. Mail.ru понимает, что это явно не аккаунт его сервиса, но сообщение об ошибке не выдает.
    3. Mail.ru проверяет почтовые MX-записи домена, и если узнает запись, то проверяет подходит ли пароль
    4. Если пароль подошел, то Mail.ru автоматически создает аккаунт в своем сервисе и настраивает скрытый сборщик писем, используя логин и пароль от настоящего почтового сервиса пользователя.
    5. Mail.ru авторизует пользователя, и он видит свои письма, ничего плохого не подозревая.
     
     
    1. После того, как пользователь нажал кнопку Выход, Mail.ru заботливо подставляет домен его почтового сервиса в качестве допустимого.

    И все! Mail.ru получил нового клиента на блюдечке, со всей перепиской, папками, настройками и т. п. (возможно, не только это, а в случае, например, с Яндексом — со всеми фотографиями, Яндекс.Диском, Деньгами, и еще кучей всего)

    Конечно же, про данный функционал практически нигде не сказано. Только если кликнуть на кнопку Войти, не указывая никаких данных, или указав неверные, Mail.ru покажет следующую картину:

    Выводы

    1. Действия Mail.ru выглядят неэтично по отношению к участникам рынка.
    2. Действия Mail.ru, на мой взгляд, подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации»
      Поправка: Мнение автора блога по этому вопросу может не являтся достоверным в силу не большой юридической грамотности
    3. Mail.ru хранит пароль таких пользователей в открытом виде, так как необходимо постоянно проверять почту на оригинальном почтовом сервисе.
    4. Пользователи, использующие такую схему (в основном, конечно, люди, далекие от компьютерных технологий), подвергают свой аккаунт риску.
    5. Другие почтовые сервисы практически ничего с этим сделать не могут, так как с их стороны это выглядит как будто человек сам настроил сборщик почты.
    6. Google — единственный, кто решил, кто решил проблему, запретив приложениям авторизовываться по паролю, а только с использованием OAuth. О чем Mail.ru и говорит:
      Опровержение: Гугл дает себя показывать по вышеописанному сценарию. Mail.ru намеренно используют Oauth авторизацию как более безопасную. Сверх того, Mail.ru пропагандируют этот способ авторизации для IMAP https://corp.mail.ru/en/press/releases/9372/ и рассказывают, как это реализовано http://habrahabr.ru/company/mailru/blog/264049/

    Вы можете проверить это на своем почтовом ящике, однако крайне не советую использовать для этого ваш старый аккаунт — заведите новый.

    Ну и не забудьте после этого помыть руки, а также сменить пароль.

     

    http://blog.yurganov.com/all/neetichny-mail-ru/

    Категория: Безопасность IT | Просмотров: 572 | Добавил: laptop | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024