|
| updated 09.01.08 13:17 26.09.07 16:09 |
KSA-JOKER   | угроза ящикам почтовым на MAIL.RU |
ru |
http://ammosov.livejournal.com/245171.html
ЧИТАЙТЕ И ДЕЛАЙТЕ ВЫВОДЯ Я УСЕБЯ ЭТУ ЛОЗЕЙКУ ЗАКРЫЛ
Где дыра в Mail.ru
Как может быть, вы знаете, у меня недавно сломали один из почтовых адресов и захватив его, стерли эккаунт в ЖЖ. Адрес был на Mail.ru. Я заподозрил, что при взломе использовались какие-то уязвимости почты и пошел разбираться, где ж собака зарыта. Долго ли, коротко ли искал, однако нашел я возможную дыру - и это не дыра, а целые ворота настежь, приходи и бери пароль. Не знаю, этот ли канал использовали взломщики, но где лежит эта дыра и как ее немного прикрыть, я вам покажу.
Итак, шаря по настройкам ( http://win.mail.ru/cgi-bin/options?####### ) , я вдруг наткнулся на поразительную ссылку (вида http://win.mail.ru/cgi-bin/userinfo?####### ) под названием "Анкетные данные: Здесь хранится информация, введенная Вами при регистрации почтового ящика: ФИО, дата рождения, а также некоторые настройки М-Агента. ".
Чтоб было понятно: несколько лет назад на волне моды на собственные интернет-пейджеры в Mail.ru сделали аналог ICQ - Mail.ru Агент. Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается - то есть попросту шпионил за ним. Тогда это еще не считалось зазорным - на другом крупном портале, забыл название,такого шпиончика ("колобка", кажется) втыкали всем, кто сдуру браузер на нем открывал, причем "колобок" еще и деинсталляции не поддавался. От Агента же хоть отказаться было можно. Собранные подобным образом данные предполагалось рекламодателям продавать. Через какое-то время пошла война борьбы с адварезами и мальварезами, да и пользователи поумнели, и сейчас Агент ставят в основном подростки да прочие чайники. Однако оказалось, что в веб-настройки Mail.ru всем пользователям задним числом добавили экранчик вот такого вида!
И все подчеркнутые мною галочки там были по умолчанию отмечены. В том числе галочка "отображать эти данные в Mail.ru Агенте". То есть, если вы регистрировали почту на Mail.ru до того, как был придуман Агент, начиная с какого-то момента все ваши основные личные данные (имя, фамилия, дата рождения) стало возможным увидеть через Агент.
А параллельно с этим на Mail.ru была сделана программная система восстановления пароля. Если вы нажмете на "забыл пароль", вам предложат дать ответ на контрольный вопрос. Однако а ну как вы ответ забыли? И чтобы не перегружать техподдержку тысячами писем от пользователей, в Mail.ru сделали проще. "Воспользуйтесь СИСТЕМОЙ ВОССТАНОВЛЕНИЯ ПАРОЛЯ". Это не обмен данными с живым сотрудником, это скрипт, программа. http://mail.ru/cgi-bin/passremind
И вот как она выглядит:
Чтобы получить пароль, не обязательно точно заполнить все поля. Достаточно угадать какую-то их часть. И скрипт сам, без участия человека, вышлет пароль на тот почтовый адрес, который вы укажете. А что за данные нам нужны? Имя, фамилия, год рождения... и откуда их взять? Правильно, посмотреть в анкете, которую Mail.ru любезно нам покажет через Mail.ru Агент.
Таким образом, у Mail.ru правая рука не знает, что левая делала. Одна вешает замок, другая кладет ключ под коврик. Одни менеджеры используют пользовательские данные для хранения секрета, другие выставляют их напоказ для раскрутки социальной сети и удовольствия рекламодателей. Сколько времени так продолжалось, я не знаю - возможно, несколько лет. Еще раз подчеркиваю: анкеты пользователей Mail.ru стали в какой-то момент доступны через Агент без ведома их владельцев и сейчас становаятся доступными по умолчанию. И этих данных вполне достаточно, чтоб, зная ваш адрес, взять у Mail.ru ваш пароль.
Скорее всего, это не последняя дыра в Мэйл.ру, но как уже было сказано, то, что я описываю, это не дыра, это ворота настежь. Это не ошибка и не злой умысел - это просто уму непостижимая глупость менеджмента и инженеров Мэйл.ру.
Так ли ломали ящики ЖЖ-юзеров, или не так, но вашим первым действием по прочтении поста сейчас должно быть не написать комментарий, а
- открыть ваш ящик на Mail.ru, List.ru, Bk.ru или Inbox.ru
- войти в настройки "Анкетных данных"
- отключить все галочки до одной.
- и поменять заодно все обязательные анкетные данные.
Пока все эти возможности в вашем почтовом эккаунте не отключены - ВЫ УЯЗВИМЫ.
А сделав все это, возвращайтесь сюда и уже тогда пишите комментарии.
ОТКРЙОТЕ ОРИГИНАЛ ТАМ УВИДЕТЕ СКРИНЫ В КОТОРЫХ НАДА ПРАВИТЬ ВСЁ У СЕБЯ В ЯЩИКЕ
|
| Comments: 7 | |
| |
|
|
26.09.07 14:55 | adminion  :
Повелитель Снов | ПТП Update |
ru |
Небольшие изменения произошли в ПТП:
- создание предметов в мастерской забытых мастеров теперь происходит с помощью диалогов
- убрана возможность создания колец
- статовые зелья, падающие с големов (топливо, смазка и ускоритель) теперь вяжутся общей судьбой и разыгрываются
- добавлены 2 новых рецепта "Зачаровать кольцо: Вытягивание души [1]" и "Зачаровать кольцо: Вытягивание души [2]"
Music: Infected Mushroom - Artillery
|
| Comments: 100 | |
| |
|
|
| updated 28.01.08 01:43 25.09.07 23:37 |
Relz_NEW | Гы... |
ru |
Обещал, что буду писать, а сам не пишу. Мда. Всё время съедает учёба... А как только найду лишнюю минутку - иду ХТшить... Ни на какой креатив времени нет( И преподоввательство в УТЗМ я отложил на второй план до лучших времён... Универ - зло!
Mood: Странное Music: Металл!!!
|
|
| |
|
|
| 25.09.07 21:52 |
Konek_Gorbunok | Троянский ... лжец? |
ru |
С интересом прочитал выступление Троянской лошади в его скролле. Среди прочего, он заявил:
Людей считающих, что у Т_К, Стабилиса, а тем более Мусорщика могут быть водилы впредь считаю недалекими
В самом деле? Ну что же, тогда читаем интервью с самим Стабиллисом у мерков: 
http://www.mercenaries.ru/inf/newcomm.php?type=news&page=1&item=47180
kirillica: Персонаж «жена в реале» не найден... :))
Как она относилась к работе в игре и как отнеслась к уходу из проекта?
Stabilis in mobile: В общем, с пониманием. :)) Кроме одного момента – когда в последней битве за Девилс меня в бой не завели. К уходу из проекта отнеслась тоже нормально. Если честно, это, мягко говоря, не главная тема для разговоров в семье. :))
kirillica: Не завели и не зашел – это разные вещи. Она помогала тебе советами, переживала и принимала активное участие в разработке темной идеологии?
Stabilis in mobile: Нет, конечно, никакими советами она не помогала и никакого участия в идеологии не принимала. Переживала только один раз: когда из-за лагов меня не завели в этот бой (а я был на премии Рунета) – и полилось дерьмо из всех щелей. Она тогда прямо спросила: зачем тебе это все надо? :))
Значит, у Стабиллиса не может быть водилы? :) Зря он тогда проговорился :)
Впрочем, сам Стабиллис тоже никогда не стеснялся публично лгать. Даже в том интервью он слегка запутался :) Не говоря уже про интервью "Императора", где я разговорил ... хмм ... Рустама про футбол, и он в ответ мне цитировал легендарного Бескова. Да и про то, кто заходил Мусорщиком я мог бы рассказать много интересного (может, потом расскажу, если разрешат). Но это совсем другая история.
|
| Comments: 9 | |
| |
|
|
| 25.09.07 20:45 |
KENHSO | Сбылась Мечта! |
ru |
Сегодня приобрел билеты на второй в истории "Металлиста" матч в Кубке УЕФА;)
Завтра привезут-выложу на всеобщее обозрение:)
Mood: Ай эм хэппи:) Music: Шоу ми ё лав, виспер май нейм;)
|
|
| |
|
|
| 25.09.07 16:31 |
Ex*Laserdanse | |
ru |
Ктулху Владимир Владимирович (настоящее имя Джон Зойдберг, родился 13 июня 1001 г. до н. э., по другим данным — вообще не рождался) — древнее шумерчегское зелёное божество с щупальцами, которое мирно спит на дне моря. По народным поверьям, в один прекрасный день Ктулху должен проснуться, выйти на берег и зохавать всех и вся.
Больше всего Ктулху любит питаться глупыми и жалкими маленькими людишками, в особенности любителями оккультизма и прочих разновидностей неонацизма.
Согласно Аль Хазреду, «аквалангист, встретивший Ктулху, должен призвать Аллаха и бежать наутек в сторону Ктулху. Но даже и тогда спастись не будет ни малейшего шанса, потому что немногие способны пробежать по дну в ластах и с аквалангом на плечах». Чуть больше шансов остаться в живых при встрече с Ктулху при использовании батискафа типа "йо-йо", выстреливаемого на глубину на эластичных канатах, батискаф с пассажирами находится на заданной глубине не более 0,01 секунды, но к сожалению использование батискафа приостановлено, так как при возвращении в сторону корабля вероятность пробить днище судна и уйти на околоземную орбиту составляет 0,87.
Ктулху находится в близких дружественных (дивных художественных) отношениях с Сотоной, Сетом, Ахриманом, Диамат, Уицитлапочтли, Джорджем Бушем-младшим, Дмитрием Кузьминым и другими посетителями хоккей-клуба «Чёрная гортань». Когда наступит время, он зохаваит их всех.
Природный враг Ктулху — огромные боевые человекоподобные роботы, возглавляемые солярным божеством Путиным.
Mood: разговорчивое 
|
|
| |
|
|
| 25.09.07 16:27 | adminion :
Лорд Разрушитель | Магические Артефакты. |
ru |
Как вы заметили, появился фул-арт для магов.
Вкратце постараюсь ответить на часть вопросов по нему.
Одев этот комплект + решимость, получается:
Уменьшение расхода маны: 30%. Теперь влияет и на ману потраченную магическим барьером.
Мф. мощности магии стихий: 300+, ограничение на "пятикратный урон от базового" поднято до десятикратного.
Подавление Защиты от магии: 53% без использования зачарований.
Как работает подавление?
Итоговая защита = Защита от магии * (100 - Подавление)% - 5 * Подавление.
Этот модификатор может опустить защиту от магии ниже нуля.
Вещи Хаоса можно сделать частью комплекта: Энергия Хаоса
2: Уменьшение расхода маны: +5, Мана: +100
4: Подавление защиты от магии: +5, Мф. мощности магии стихий: +25%
Кольцо Шторма:
Его действие похоже на действие заклинания Скорость Молнии, важный момент: маг не может использовать одно и то же заклинание несколько раз за ход. Т.е. два Испепеления не получится. А вот Испепеление + Цепная Молния, сработает нормально.
|
| Comments: 108 | |
| |
|
|
| 25.09.07 09:46 |
Konek_Gorbunok | Надеюсь, они знают, что делают |
ru |
Ффиша и Кцина снова с крестом. Думаю, зря они так, но время покажет.
Короткий комментарий от Кцины:
07:31:03 <Кцина> Ну так - силы Добра в очередной раз одержали победу над силами Разума..
Ох уж эти силы добра :( Надеюсь, они все таки поставят зло на колени и зверски замучают.
Update: 25-09-07 08:00 Форумку с Кцины, разумется, сняли.
|
| Comments: 11 | |
| |
|
|
| 25.09.07 08:05 |
Bernhard | Ночь прошла, настало утро ясное (С) |
ru |
Каким будет сегодняшний день, и какой будет последуящая жизнь, сегодня всё решится.
Update: 26-09-07 07:50 всё замечательно :)
|
| Comments: 3 | |
| |
|
|
| 25.09.07 04:04 |
Bernhard | Мучительно тихая ночь. |
ru |
|
Переждать, стерпеть, чтобы жить.
|
| Comments: 6 | |
| |
|
Total posts: 9093 Pages: 910
1.. 10.. 20.. 30.. 40.. 50.. 60.. 70.. 80.. 90.. 100.. 110.. 120.. 130.. 140.. 150.. 160.. 170.. 180.. 190.. 200.. 210.. 220.. 230.. 240.. 250.. 260.. 270.. 280.. 290.. 300.. 310.. 320.. 330.. 340.. 350.. 360.. 370.. 380.. 390.. 400.. 410.. 420.. 430.. 440.. 450.. 460.. 470.. 480.. 490.. 500.. 510.. 520.. 530.. 540.. 550.. 560.. 570.. 580.. 590.. 600.. 610.. 620.. 630.. 640.. 650.. 660.. 670.. 680.. 690.. 700.. 710.. 720.. 730.. 740.. 750.. 760.. 770.. 780.. 790.. 799 800 801 802 803 804 805 806 807 808 809 810.. 820.. 830.. 840.. 850.. 860.. 870.. 880.. 890.. 900.. 910
|
|
| Mo |
Tu |
We |
Th |
Fr |
Sa |
Su |
| | | 1 | 2 | 3 | 4 | | 5 | 6 | 7 | 8 | 9 | 10 | 11 | | 12 | 13 | 14 | 15 | 16 | 17 | 18 | | 19 | 20 | 21 | 22 | 23 | 24 | 25 | | 26 | 27 | 28 | 29 | 30 | 31 | |
|
