Открытка компании: в почту Mail.ru можно попасть по рефереру?

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте (//roem.ru/tip/), и могут быть опубликованы без предварительной модерации.

----------------------------------

цитирую:

В логах статистики мы частенько замечали не один переход по ссылкам из входящей почты на сервере mail.ru. По понятным причинам мы даже не пытаемся такие ссылки открывать.

Но сегодня я случайно нажал на refferer вида http://win.mail.ru/session/7250…. И каково же было моё удивление, когда перед глазами открылся ящик ничего не подозревающего пользователя сервиса mail.ru!

Привожу соответствующие скриншоты. Сначала логи из статистики:
Так выглядит реф.ссылка в статистике
http://toogeza.com/wp-content/uploads/2008/10/hole_in_mail_ru-01.gif
А вот и почта пользователя (нашего читателя), в которую мы попали по вышеприведённой ссылке:
А вот и дыра в почту, по реф. ссылке из статистики
http://toogeza.com/wp-content/uploads/2008/10/hole_in_mail_ru-02.gif

Я правильно понимаю, что Mail.ru - это дыра? Точнее ДЫРЕНЬ? ДЫРИЩА?

ps: Письма пользователя я не читал и пароли ему не менял - привычки такой не имею. Но написал письмо с предупреждением о дыре. А для пущей убедительности создал ему письмо в черновиках.

ps2: пользуйтесь gmail.com что ли…

-----------
Источник: http://toogeza.com/2008/10/10/1116

Лучшие комментарии

  • Контекст комментария

    zotov

    Если пользователь сидит за особым прокси-сервером, который представляет собой сеть прокси (такая сеть, например, в AOL), то запросы этого пользователя приходят с разных IP, поэтому сессию нельзя привязать к IP-адресу. Вот и приходится выбирать, какую из проблем подсунуть пользователю: чтоб он и сам не мог войти в почтовый ящик или чтобы все подряд могли входить :)

Добавить 37 комментариев

  • Ответить
    Альтер Эго

    Для того, что бы у тебя был такой реферер, по-моему, нужно зайти в настройки почтового ящика и отключить там глочку «Использовать cookie для авторизации», под которой написано: «Опцию «Использовать cookie для авторизации» предпочтительно не выключать. Включение этой опции позволяет системе сохранять сессию в данном п/я, при этом не нарушая безопасности этого п/я. Выключение этой опции нарушает безопасность, так как позволяет передавать информацию на чужие сайты. Выключать ее стоит только при «попадании» в чужой п/я (данная ошибка обычно возникает при неправильно настроенном proxy-сервере). «

  • Ответить

    Если пользователь сидит за особым прокси-сервером, который представляет собой сеть прокси (такая сеть, например, в AOL), то запросы этого пользователя приходят с разных IP, поэтому сессию нельзя привязать к IP-адресу. Вот и приходится выбирать, какую из проблем подсунуть пользователю: чтоб он и сам не мог войти в почтовый ящик или чтобы все подряд могли входить :)

  • Ответить

    Блин. Всё это регулируется в настройках почтового ящика, но крутым экспертам естественно лень туда посмотреть. По умолчанию сессия хранится в куке, а не в URL и проблемы не существует.

  • Ответить

    gornal, так вроде никто тут и не пишет, что проблема глобальная. Но если в движок изначально заложено, что, скажем, 1% ящиков является гарантированно уязвимымы, то что, проблемы не существует? Я сейчас за 1 минуту собрал сессии для пары сотен ящиков. Это не проблема?

  • Ответить

    Уязвимы те ящики, владельцы которых по той или иной причине сами выбрали свою судьбу. Соизмеримый процент ящиков имеет совпадающий логин и пароль — это тоже ДЫРИЩА? >Я сейчас за 1 минуту собрал сессии для пары сотен ящиков. Это не проблема? Таких как ты — очень немного. В порядки большее количество людей может собирать соизмеримое количество сессий/паролей _другой_почтовой_системы_, фильтруя трафик 80/110-ого порта. ДЫРИЩА?

  • Ответить
    Альтер Эго

    2zotov: Максим, а часто вы используете у себя в LiveInternet информацию счетчиков LiveInternet для сбора конфиденциальной информации пользователей?

  • Ответить

    Да, согласен, не дырища. Посмотрел настройки, без знания пароля ничего поменять нельзя (это к фразе «пароли ему не менял»), только посмотреть почту и какую-то личную информацию. И галочка привязки к IP есть, но она выключена по умолчанию и не включается, если убрать использование кук. По-моему, если уж не жёстко требовать привязку к IP при работе без кук, то хотя бы автоматически её включать.

  • Ответить

    Саш, я тебя приведу пример. Тут в свое время, например, Li.ru попеняли на то, что c помощью картинки счетчика про обсчитываемый сайт можно узнать до черта информации, даже если вебмастер этого не хотел. Баг не приводил к утечке личных данных, проявлялся при редком (относительно) сочетании параметров. Его убрали. Тут баг _ведет_ к утечке личных данных. Ты честно считаешь его фичей?

  • Ответить

    > LiveInternet для сбора конфиденциальной информации пользователей? Да это ж очевидно, что LiveInternet только для этого и был сделан. Так же как, допустим, mail.ru был сделан, чтобы читать личную почту миллионов :)

  • Ответить

    Юра, ставишь всё с ног на голову. В li.ru был баг, ведущий к утечке конфиденциальной, бизнес-критичной информации, защититься от которого можно было только отказавшись от услуг liveinternet. Тут фича, позволяющая использовать почту в тех условиях, в которых не работает _другая_почтовая_система_, снижающая безопасность, причем включить её пользователь должен сам. Можно этот «баг» исправить, но условный 1% пользователей останется без почты. Их личные данные будут в офигенной безопасности.

  • Ответить

    Ну то есть если клиент хочет деревянный автомобиль, но в деревянный, по ряду причин, нельзя поставить тормоза — то такими деревянные автомобили и надо делать? Чо ж, оставлять юзеров без автомобилей что ли? Пусть ездят без тормозов

  • Ответить

    zotov, картинки как раз можно отключить по умолчанию (не помню, как на mail.ru) Lavrentiy, JFYI, редирект не меняет реферрер. А через промежуточную страницу нельзя пробросить форму. sinodov, если клиент отпилит себе педаль тормоза — его автомобиль заведется. Это нормально. Человек знает, на что идет, «не должно быть оружию умнее человека». И я так и не понял, нужно ли _другой_почтовой_системе_ исправлять баг, заключающийся в поддержке протокола pop3? Там не только сессию, там пароль можно подсмотреть.

  • Ответить

    Пусть лучше их почту имеет возможность читать администратор ЖЖ, чем они не смогут написать в ЖЖ из письма-уведомления? Да. Безусловно. Можете устроить опрос среди этих пользователей. (Мне кто-нибудь ответит про pop3?)

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    А, то есть оно не перекидывается через промежуточную страницу, режущую реферер, только для ЖЖ? Весьма похвальная система, жаль, что это неправда.

  • Ответить

    Нет. Формы отправляются только на тот сайт, на которые их отправляет пользователь. И читать реферры может только администратор этого конкретного сайта.

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    Я очень рад, что ты умеешь меня тему, правда, это полезное умение. А теперь, если несложно, объясни, пожалуйста, каким образом формы относятся к тому, что в _этой_почтовой_системе_ ссылки не прокидываются через промежуточную, режущую реферер, страницу?

  • Ответить

    Ссылки можно прокидывать через промежуточную, режущую реферрер страницу. И это наверное будет правильно. Как, наверное, и предложение Максима. Только это никак не поможет пользователям (у них и сейчас проблемы нет) и никак не помешает экспертам по ДЫРИЩАМ, т. к. останется проблема форм и, возможно, картинок. Насчет смены тем — забавно: kukutz: форму? gornal: ага, например, для ЖЖ. kukutz: только для ЖЖ?? Врете! gornal: нет, не только для ЖЖ. kukutz: а как формы относятся к ссылкам? Ты тему разговора сменил!

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    То есть, когда почту пользователя читают посторонние, это не является для него проблемой? Ой-вей. А тему на формы сменил ты в 11.10.2008 11:02:38.

  • Ответить

    Т. е. благодаря этой «проблеме» посторонние читают ничтожно малое число почт. Даже в масштабах mail.ru — возможно количество реальных проблем действительно равно нулю. /* Если ты сейчас демонстративно залезешь в пару ящиков, это не будет опровержением моих слов — чтение почты тобой незнакомого пользователя не является проблемой для него (и я тоже могу в принципе почитать переписку _другой_почтовой_системы_ благодаря другой ДЫРИЩЕ). */ Потенциальная и нереализуемая возможность не является проблемой пользователей. Особенно в сравнении с теми ужасами, которые реально происходят по совершенно другим причинам ежедневно как на mail.ru, так и на _другой_почтовой_системе_. (Я сомневаюсь, что ты не можешь спать из-за астероидной опасности, особенно если живешь где-нибудь в Гарлеме.) До 11:02:38 кто-то говорил про промежуточные страницы, с которых я якобы увел тему? Оригинальное прочтение дискуссии.

  • Ответить

    Оно не равно нулю — посмотри с какого кейса начало все обсуждаться Более того — у многих рефереры открыты. Может человек не всегда их увидит, а боты поисковых систем? Ведь клево же будет, если какой-нибудь «Яндекс» одному проценту юзеров Mail.ru поиндексирует один процент их почты, да?

  • Ответить

    Я аккуратно прочел кейс перед своим комментарием: «ps: Письма пользователя я не читал «. Опять астероидная опасность (ссылка живет 2 часа, кстати) в сравнении с реальной невозможностью пользоваться _другой_почтовой_системой.

  • Ответить

    2 gornal: > Lavrentiy, JFYI, редирект не меняет реферрер. Если ставить meta-редирект, то referrer убирается вообще. Если отправлять на промежуточную страницу, с которой делать редирект на javascript или вообще не делать редирект, а спрашивать юзера, хочет он перейти или нет (вместо окна с вопросом, которое показывается сейчас), то в реферере будет промежуточная страница. Но мне кажется, что это всё припарки, правильным решением была бы насильная привязка к IP при выключенных куках, тогда никаких выключений картинок, промежуточных страниц для прятания реферера не нужно. > Человек знает, на что идет В том-то и дело, что не знает. Ему сообщается о какой-то там условной безопасности, но он не понимает реальных последствий. Особенно, когда галочка привязки к IP выключена по умолчанию. Пользователь, выключая одну галочку про куку, еще может почитать описание про эту галочку, но точно не будет читать описание про другую галочку, которую он не менял. > Можно этот «баг» исправить, но условный 1% пользователей останется без почты. Не 1%. Если включить жёсткую привязку к IP при выключенных куках, то лишатся почты какие-то тысячные доли процента: те, которые отключили куки (пусть 1%) и одновременно с этим заходят через разные IP (таких ещё меньше, пусть 0.1%, хотя, вероятно, ещё меньше), итого 0.001%. И эта тысячная процента, думаю, вполне может всё-таки включить куки, чтобы пользоваться почтой.

  • Ответить

    >И это наверное будет правильно. Как, наверное, и предложение Максима. Но панацеей оно не будет. Значимое (десятки процентов) число пользователей, которым осмысленно воровать друг у друга почту сидят в одном офисе под одним IP.

  • Ответить

    Кстати, сейчас проверил: если выключить в браузере куки, то в ящик вообще нельзя попасть (в настройках ящика галочка кук включена). Выкидывает на страницу http://win.mail.ru/cgi-bin/login и на ней ничего не написано ни про куки, ни про то, почему меня не пустили в ящик. Просто форма логина. Как мне зайти в настройки ящика, чтобы убрать галочку про куки, тем более, если я не знаю, что проблема в выключенных куках?

  • Ответить

    2 gornal: про редирект я в курсе, я имел в виду яваскриптовый, zotov вон и мета предложил. В принципе если сильно подумать, то можно забороть и картинки и формы. Только решение будет слишком массивное для решения такой непопулярной проблемы. Тут я согласен с Зотовым надо для начала посмотреть нельзя ли решить гениально — т.е. по простому.