Блог им. jedi-to-beОграбление по-дилетантски-3 или те же яйца, только в профиль.

Добрый день, Опен-Лайф!
Мне снова есть, что рассказать. Наверное, Вы помните мои предыдущие топики (1,2) на тему хранения\передачи паролей в открытом виде? Найденные мною прорехи были спешно залатаны, но правильных выводов никто так и не сделал (из технического персонала компаний). Поэтому Вы и читаете этот топик.

Как я и обещал, я решил проверить еще какой-нибудь популярный почтовый сервер услугой сборщика почты. Выбор пал mail.qip.ru. Почему? Да потому, что это достаточно старая и известная многим Почта.ru, но под другой вывеской.

1. Хм. Всплывающее окошко на AJAX отпугнет почти любого диллетанта. Но не меня =)


2. Почти без надежды смотрю в исходный код и вдруг обнаруживаю там заготовку для вплывающего окошка на слоях, заботливо помеченную авторами кода. Меня тип поля для ввода пароля, а волшебный браузер Опера помогает применить результат к прямо активной странице


3. Вуаля, все как на ладони


4. Вспоминаю про Яндекс.Почту и ее новый интерфейс НЕО.


5. Код страницы уже не такой читабельный, но принцип его работы схожий. Я нахожу заготовку, меняю тип поля, применяю…


6. -Фиаско, фиаско!- кричал пьяный попугай.


Что там говорил тов с Яндекса:
Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:

А интерфейсом НЕО пользуются оставшиеся 99%?

UPD Яндекс проблему устранил.

Комментарии (7)

Хорошо то, что хорошо кончается.
>jedi-to-be Не знаете как именно Яндекс решил проблему? Интересно.
Пароль обратно больше не передается.
а gmail не хромает в плане безопасности?
У google все в порядке — jedi писал об этом где-то. :-)
а нафига при редактировании вообще давать пароль? о_О
Наоборот его нужно просить ввести, чтобы изменить настройки (или если пользователю хочется изменить сам пароль, то ввести старый и два новых). Тогда этой проблемы не будет как класса, и все будут довольны.
Где я дурак?
А самое обидное что судя по всему таких прорех в сети огромное количество, а тех поддержка в случае чего отнекивается… вот так регистрируйся в надежде на безопасность, а сам даже не подозреваешь что возможно действительно важная информация находится под угрозой =(
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.