|
| updated 09.01.08 13:17 26.09.07 16:09 |
KSA-JOKER   | угроза ящикам почтовым на MAIL.RU |
ru |
http://ammosov.livejournal.com/245171.html
ЧИТАЙТЕ И ДЕЛАЙТЕ ВЫВОДЯ Я УСЕБЯ ЭТУ ЛОЗЕЙКУ ЗАКРЫЛ
Где дыра в Mail.ru
Как может быть, вы знаете, у меня недавно сломали один из почтовых адресов и захватив его, стерли эккаунт в ЖЖ. Адрес был на Mail.ru. Я заподозрил, что при взломе использовались какие-то уязвимости почты и пошел разбираться, где ж собака зарыта. Долго ли, коротко ли искал, однако нашел я возможную дыру - и это не дыра, а целые ворота настежь, приходи и бери пароль. Не знаю, этот ли канал использовали взломщики, но где лежит эта дыра и как ее немного прикрыть, я вам покажу.
Итак, шаря по настройкам ( http://win.mail.ru/cgi-bin/options?####### ) , я вдруг наткнулся на поразительную ссылку (вида http://win.mail.ru/cgi-bin/userinfo?####### ) под названием "Анкетные данные: Здесь хранится информация, введенная Вами при регистрации почтового ящика: ФИО, дата рождения, а также некоторые настройки М-Агента. ".
Чтоб было понятно: несколько лет назад на волне моды на собственные интернет-пейджеры в Mail.ru сделали аналог ICQ - Mail.ru Агент. Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается - то есть попросту шпионил за ним. Тогда это еще не считалось зазорным - на другом крупном портале, забыл название,такого шпиончика ("колобка", кажется) втыкали всем, кто сдуру браузер на нем открывал, причем "колобок" еще и деинсталляции не поддавался. От Агента же хоть отказаться было можно. Собранные подобным образом данные предполагалось рекламодателям продавать. Через какое-то время пошла война борьбы с адварезами и мальварезами, да и пользователи поумнели, и сейчас Агент ставят в основном подростки да прочие чайники. Однако оказалось, что в веб-настройки Mail.ru всем пользователям задним числом добавили экранчик вот такого вида!
И все подчеркнутые мною галочки там были по умолчанию отмечены. В том числе галочка "отображать эти данные в Mail.ru Агенте". То есть, если вы регистрировали почту на Mail.ru до того, как был придуман Агент, начиная с какого-то момента все ваши основные личные данные (имя, фамилия, дата рождения) стало возможным увидеть через Агент.
А параллельно с этим на Mail.ru была сделана программная система восстановления пароля. Если вы нажмете на "забыл пароль", вам предложат дать ответ на контрольный вопрос. Однако а ну как вы ответ забыли? И чтобы не перегружать техподдержку тысячами писем от пользователей, в Mail.ru сделали проще. "Воспользуйтесь СИСТЕМОЙ ВОССТАНОВЛЕНИЯ ПАРОЛЯ". Это не обмен данными с живым сотрудником, это скрипт, программа. http://mail.ru/cgi-bin/passremind
И вот как она выглядит:
Чтобы получить пароль, не обязательно точно заполнить все поля. Достаточно угадать какую-то их часть. И скрипт сам, без участия человека, вышлет пароль на тот почтовый адрес, который вы укажете. А что за данные нам нужны? Имя, фамилия, год рождения... и откуда их взять? Правильно, посмотреть в анкете, которую Mail.ru любезно нам покажет через Mail.ru Агент.
Таким образом, у Mail.ru правая рука не знает, что левая делала. Одна вешает замок, другая кладет ключ под коврик. Одни менеджеры используют пользовательские данные для хранения секрета, другие выставляют их напоказ для раскрутки социальной сети и удовольствия рекламодателей. Сколько времени так продолжалось, я не знаю - возможно, несколько лет. Еще раз подчеркиваю: анкеты пользователей Mail.ru стали в какой-то момент доступны через Агент без ведома их владельцев и сейчас становаятся доступными по умолчанию. И этих данных вполне достаточно, чтоб, зная ваш адрес, взять у Mail.ru ваш пароль.
Скорее всего, это не последняя дыра в Мэйл.ру, но как уже было сказано, то, что я описываю, это не дыра, это ворота настежь. Это не ошибка и не злой умысел - это просто уму непостижимая глупость менеджмента и инженеров Мэйл.ру.
Так ли ломали ящики ЖЖ-юзеров, или не так, но вашим первым действием по прочтении поста сейчас должно быть не написать комментарий, а
- открыть ваш ящик на Mail.ru, List.ru, Bk.ru или Inbox.ru
- войти в настройки "Анкетных данных"
- отключить все галочки до одной.
- и поменять заодно все обязательные анкетные данные.
Пока все эти возможности в вашем почтовом эккаунте не отключены - ВЫ УЯЗВИМЫ.
А сделав все это, возвращайтесь сюда и уже тогда пишите комментарии.
ОТКРЙОТЕ ОРИГИНАЛ ТАМ УВИДЕТЕ СКРИНЫ В КОТОРЫХ НАДА ПРАВИТЬ ВСЁ У СЕБЯ В ЯЩИКЕ
|
| Comments: 7 | |
| |
|
|
| updated 09.01.08 13:17 20.09.07 23:16 |
KSA-JOKER | Дидюля |
ru |
в мои цепки лапы попала вот эта пластинка
рекомендую к прослушиванию
тут по подробнее можно узнать
http://didula.com/index.php?pid=223
ненапряжная инструментальная музыка
|
| Comments: 6 | |
| |
|
|
| updated 09.01.08 13:16 17.09.07 21:53 |
KSA-JOKER | ну типа +1 Вы продали "Чек на 400 кр." за 400 кр. |
ru |
|
возвратом ан страшилку и скрасными нр по бырому в гос маг ;-)
|
|
| |
|
|
| 15.09.07 12:35 |
DyingBride | Прогнозы сбываются? |
ru |
Давным-давно, еще на заре скроллов, меня посетила мысль: "Информационное пространство БК медленно перемещается с новостных лент клансайтов на Скроллы". Мысль тщательно отгонялась, ведь мне как главе клана, это ни разу не выгодно, но против правды не попрешь. Скроллы развивались, привлекая все новых и новых БК-шников нажать заветную кнопочку "Создать Скролл", потом появились фотогалереи...
И понеслось: многие стали писать свои откровения не на НЛ собственных кланах, а тут - в скроллах. Ну а новостные, в свою очередь, стали все больше похожи на дайджест Скроллов.
Сегодняшняя новость об отмене рейтинговых абилок окончательно подтвердила давным-давно зародившуюся мысль: "Клановые сайты медленно, но верно движутся в сторону упадка". С сегодняшнего дня нет той самой заманухи, которая раньше заставляла кланы искать программеров, новостников, писателей и т.д.: за первые места рейтинга больше не будет клановых абилок. Да, честно-то говоря, нам, как небольшому клану, не претендующему на топ, абилки не так уж нужны сами по себе (мы бывали в топе неоднократно, поднимались до 6 места в рейтинге). Зачастую они даже не использовались, но сам факт их наличия как-то грел душу, повышал настроение сокланов и вселял в них позитивное ощущение: "Мы можем!". После таких дней резко повышалась работоспособность людей - новые идеи сыпались как из рога изобилия, и даже самые отъявленные лентяи "просыпались" и начинали делать что-то для клана.
Больше такого не будет. Во что выльется изменение - пока не знаю. Но, в любом случае, еще один мощный стимул к развитию клансайтов утерян, а значит мы будем наблюдать медленное увядание этой составляющей БК. Не удивлюсь, если скоро останутся сайты, типа нашего (появившегося задолго до регистрации клана) - использующиеся для общения с друзьями по игре.
PS: Впрочем, есть абилки или нет, мне лично без разницы. Мои усилия по содержанию клансайта приносят удовлетворение прежде всего мне самой. Мне лично приятно видеть собственную НЛ, заполненную основными новостями о БК, хоть ее и читает всего несколько десятков человек в день.
Update: Нашла скрин с абилками.
 15-09-07 13:38
|
| Comments: 2 | |
| |
|
|
| updated 09.01.08 13:16 11.09.07 13:36 |
KSA-JOKER | Into the Night - Chad Kroeger/Santana |
ru |
сантана красиво туту играет ;-)
|
|
| |
|
|
| 08.09.07 17:47 |
DyingBride | Завела себе животинку |
ru |
Теперь у меня живет Светляк. Малюсенький совсем, слабенький. Качаю мальчика в Бездне. Заодно играю в "почувствуй себя артником": боты в Казармах умирают, не успев даже писнкуть, не то чтобы написать завещание.
Заодно слушаю новое приобретение: Swallow The Sun - Hope (2007) - весьма приятный альбой финского коллектива. Стиль - doom-death.
Music: Swallow The Sun - The Justice Of Suffering
|
|
| |
|
|
| updated 09.01.08 13:16 31.08.07 16:05 |
KSA-JOKER | для тек кто пишет музыку |
ru |
фрутилупс рулит
для тех кто незнает эту програму но любит электрону да и инструментальную прогу рекомендую
|
|
| |
|
|
| updated 09.01.08 13:16 31.08.07 15:43 |
KSA-JOKER | всё будет ОФИГЕНО |
ru |
|
|
|
| |
|
Total posts: 453 Pages: 46
1.. 10.. 20.. 30.. 39 40 41 42 43 44 45 46
|
|
| Mo |
Tu |
We |
Th |
Fr |
Sa |
Su |
| | | | | | 1 | | 2 | 3 | 4 | 5 | 6 | 7 | 8 | | 9 | 10 | 11 | 12 | 13 | 14 | 15 | | 16 | 17 | 18 | 19 | 20 | 21 | 22 | | 23 | 24 | 25 | 26 | 27 | 28 | 29 | | 30 | | | | | | |
|
