Открытка компании: Mail.ru собрал с пользователей «чайников» логины-пароли для конкурирующих почтовиков?

Ну если к тебе на улице подходит Иван Иваныч и говорит: «Хочу Lada Kalina, вот миллион рублей», то можно же ему помочь — сам-то человек не справляется.

Можно было сделать по человечески, написать куда человеку нужно заходить, или переадресовать на веб-морду с подставленными данными.

Гугл дает себя показывать по вышеописанному сценарию. Мы намеренно используем Oauth авторизацию как более безопасную. Сверх того, мы активно пропагандируем этот способ авторизации для IMAP https://corp.mail.ru/en/press/releases/9372/ и рассказываем как это реализовано у нас http://habrahabr.ru/company/mailru/blog/264049/

Функция появилась 8 июля 2013.

Mail.ru заработает на клиентах Gmail и почты «Яндекса» — Известия

Интересно, что Mail.ru Group и «Известия» описывали веб-клиент новой почты Mail.ru, а не способ в него попасть после ввода пароля-логина от чужой почтовой службы. Способ отличный, и показывает, в частности, силу бренда Mail.ru. В свою очередь Facebook-реакция «продвинутой» аудитории показывает её определённую зашоренность. Для продвинутых пользователей вводить логин-пароль другой почты в Mail.ru — противоестественно. Мол — интернет так не работает. А он работает именно так. То что мы видим, условно говоря, называется «хороший фишинг».

P. S. «Хороший фишинг» — хороший термин. Его вполне можно использовать при проектировании, как один из гипотетических поведенческих паттернов.

опа, проснулись

https://corp.mail.ru/ru/press/releases/8774/

новость от апреля 13-го года

Немного на отвлечённую тему о «силе бренда mail.ru». В 2000 году на странице восстановления забытого пароля mail.ru выдавала правильный пароль в hidden-реквизите формы. Кто-то ещё помнит это?

Опа! Заснули : )

Пресс-релиз не имеет смыла в контексте обсуждаемого сценария авторизации. 2 года назад на картинке предложено явно вводить пароль от Яндекса. В пресс-релизе нет ничего о запрограммированной реакции сайта Mail.ru на введённый в него пароль от чужих почтовых служб. Смысл интефейсной находки Mail.ru в том что сайт молча отработает введённый в него пароль от «чужих» почтовых служб. А вовсе не в том, что почтовики, видите ли, способны собирать почту с других почтовых провайдеров.

Да, многие хейтеры помнят. Это уже 15 лет дает им силы жить дальше.

Что происходит, если у пользователя почты настроена двухэтапная аутентификация?

В случае двухфакторной аутентификации все работает следующим образом.

Если это пользователь Яндекса, то у него авторизация на главной странице Mail.Ru (как и сборщик, кстати) не работает с его обычным паролем, но работает с его «длинным» паролем для приложений.

Если это пользователь GMail, то все будет работать и с его обычным паролем, потому что тут вступает на сцену магия OAuth и вся авторизация происходит на стороне GMail.

Просто чудесная придумка.

Повторите еще раз, пожалуйста, чем это отличается от фишинга?

Наверное, тем же, чем и сборщики внутри сервисов GMail/Yandex или почтовые клиенты Outlook/Thunderbird/TheBat отличаются от фишинга.

Тем, что Мейл не маскируется под чужие сайты?

Спасибо за комментарий, поправил статью.

Тем, что пользователя не обманывают.

ЦИТАТА: В описываемом случае пользователь был зарегистрирован на Яндекс.Почте, но «никогда» не видел интерфейсов этого сервиса и входил в Яндекс.Почту исключительно через сайт Mail.ru.

Не могу понять это. Как он тогда зарегистрировался, если никогда не видел интерфейсов этого сервиса?

Почта для домена, логин и пароль ему выдан их IT-шник.

Высока вероятность, что учетку регистрировал не он, а коллега/предшественник.

те кто читают почту через Бат или Оутлук тоже никогда не видят интерфейс. И что?

Хорошим фишингом станет, если после первой такой авторизации пользователю большими буквами о свершившемся факте сообщат и успокоят что это хорошо и т.п.
Если это происходит незаметно — то я считаю это как минимум непорядочно по отношению к сервисам, у которых тырят пользователей.

Нет в Рунете погромного духа :(
Если «другой» сервис видит, что Mail.ru забирает ящик в количестве — надо немедленно программировать и в письма автоматом вставлять собственные учебные (идеально), издевательские (похуже), или рекламные (ещё хуже) сообщения.

Еще раз: Как можно зарегистрироваться на «Яндекс.Почте» без посещения сайта «Яндекс.Почты»?

Как моя тёщя. Я ей зарегестрирую блабла@yandex.ru, а потом слышу как она передаёт свой почтовый адрес (читая с бумаги): «блабла вот эта штука, круглая как «А» со спиралью яндекс ру». Почта у неё есть, но именно на Яндекс.Почте она пока не была никогда (лет 7 уже).

> Наверное, тем же, чем и сборщики внутри сервисов GMail/Yandex или
> почтовые клиенты Outlook/Thunderbird/TheBat отличаются от фишинга.

Наверное, нет. Создатели почтовых клиентов не получают паролей пользователей, а сборщики почты прямо просят пользователей авторизировать их деятельность.
А здесь все построено на том, что пользователь не понимает, что происходит — как и положено фишинговому сайту.

Crio, вы гоните. Сами на этот интерфейс смотрели? https://e.mail.ru/login В левом верхнем углу большие буквы mail.ru. Пользователь, который не поймёт, что это мейл.ру, и в посковике гугла свой пароль вбить может, и чёрт знает где. А тут он только благодарен будет — ему соломку подстелили. И кто-то из опытных пользователей будет благодарен — где ты ещё найдёшь вебморду к куче почтовых ящиков разных провайдеров одновременно в одном окне?

mail.ru, вы ведь не настраиваете незаметно переадресацию почты, правда? как честные почтовые клиенты ходите через IMAP? После фразы «Mail.ru автоматически создает аккаунт в своем сервисе и настраивает скрытый сборщик писем» как-то сцыкотно лезть проверять на своей почте.

Тю. Я так на яндекс-почту облако оформил, когда ещё терабайты давали.

PS: в в чём великий смысл зваться наноблогом, а не блогом Алексея Юрганова? Нано-тематики, нано-размеров вроде не видно, разве что нано-дизайн?

Дмитрий, все често, никаких переадресаций, ходим по IMAP.

> Пользователь, который не поймёт, что это мейл.ру, и в посковике гугла свой пароль вбить может, и чёрт знает где

Конечно, может. Но Гугл при этом не скажет «иди сюда мой сладенький», правда? А кто скажет — тот и фишер.

> И кто-то из опытных пользователей будет благодарен — где ты ещё
> найдёшь вебморду к куче почтовых ящиков разных провайдеров
> одновременно в одном окне?

Да где угодно — и Гугл, и Яндекс это умеют, и прочие почтовики наверняка тоже. Они только не додумались до такого прозрачного интерфейса для подключения этой услуги — надо лезть в настройки и явно заявлять о своем желании собирать сюда почту с других доменов.

Собственно, в этом весь вопрос — в крупном и легко читаемом объявлении типа: «вы находитесь на сервисе Мэйл ру и пытаетесь получить доступ к почте на другом домене. Хотите мы настроим для вас сбор почты с этого домена сюда и будем вашим почтовым клиентом? Да/нет»

Отсутствие такого объявления превращает потенциально полезный для пользователя сервис в фишинг — то, что сервис не спрашивает у пользователя явного разрешения на такие действия, явный показатель отсутствия морали. А что, в таком случае, остановит его от дальнейшей эксплуатации пароля/логина/почты?

> Дмитрий, все често, никаких переадресаций, ходим по IMAP.

Единожды солгавший, кто тебе поверит? (с)

Я думаю, ваши претензии базируются на том, что вы думаете, что Google так никогда не сделает.
Давайте подождём.

Красивый ход.

Я работал в одном из упомянутых выше и в комментах сервисе. Эта фича внутри называется «сборщик» и сделали ее как раз чтобы пользователи ходили в привычный интерфейс. Особенно те, кто пользуется несколькими ящиками. У меня может быть личная почта на Мейле, а бизнес-почту я поселю в почте для доменов Яндекса. Вместо того чтобы скакать между разными вкладками, я настрою сборщик так, чтобы письма из разных ящиков у меня были в одном интерфейсе — будь это яндекс, мейл или гугл. Это реально удобно.

По сути эти сценарии ничем не отличаются от использования почтового клиента, который, кстати, тоже брендирован.

Безусловно, присутствие пользователя в окружении сервиса это важно для бизнеса, но никакого «ОБОЖЕМОЙ!!!!!» в этом нет.

Теперь что касается паролей — я, в бытность моей работы в одном из сервисов, своими глазами наблюдал, что между сервисами идет постоянный диалог на эту тему и этот диалог направлен как раз на защиту личных данных пользователей. Аутентификация через OAuth это как раз один из способов обезопасить учетки пользователей, но, к сожалению, в силу специфики протокола, реализовать его в окружении сервиса так, чтобы не поломать сам сервис, не так просто, как кажется. Кроме этого есть еще способы, но также не без своих особенностей. Опять же в этом направлении постоянно велась работа и внимание уделялось очень пристальное.

Поэтому если подводить черту — ничего плохого в сборщиках нет и правда паника на пустом месте.

> > Дмитрий, все често, никаких переадресаций, ходим по IMAP.

> Единожды солгавший, кто тебе поверит? (с)

Не надо мне верить, надо просто проверить. Для этого достаточно сходить в настройки Яндекса и посмотреть, не появились ли там переадресации.

Надо теперь запилить сайт только с красивой формой логина, которая будет тыкаться вашим OAuth везде где можно, прямо по списку. Сами то уже забыли, где регистрировались.

А ещё можно парсить почтовый ящик пользователя и извлекать, где он регается — тоже на связку весить.

> Давайте подождем.

Вы меня, кажется, подозреваете в идолопоклонстве перед гуглом. Это зря. Я, конечно, использую его для сбора почты (со всех ящиков кроме одного, где никак не могут обзавестись SSL сертификатом, а Гуглу без сертификата западло), но вполне допускаю, что Гугл может запилить что-нибудь подобное. Хотя пока не запилил.

Надо сказать, аналогичные возможности существуют довольно широко. Например, если вы делаете браузер, можно при установке, не спрашивая пользователя, стянуть все настройки/закладки/пароли с уже существующего и воткнуть себя в качестве браузера по умолчанию. Но так же никто не делает, правда? Ой…

> Безусловно, присутствие пользователя в окружении сервиса это важно для
> бизнеса, но никакого «ОБОЖЕМОЙ!!!» в этом нет.

Ну да, и именно потому, что это совершенно неважно, такой сервис реализован во всех без исключения веб-почтах.

> Поэтому если подводить черту — ничего плохого в сборщиках нет и правда
> паника на пустом месте.

В сборщиках — конечно нет, а в сервисах, которые пытаются пролезть без мыла — более чем.

> Не надо мне верить, надо просто проверить.

Да, спасибо, этот конкретный пункт действительно легко проверить. А вот в то, что вы (как и любой другой сервис почты) не используете свои возможности доступа к чужой почте себе на пользу пользователю во вред — в это надо верить.
Что возвращает нас на шаг назад.

> Что возвращает нас на шаг назад.

Мы находимся на высококонкурентном рынке. Если будем вредить, то быстро растеряем аудиторию. Нам это, банально, не выгодно. Что касается описываемой в этом чатике ситуации, то это просто наш недосмотр — не правильно уведомили пользователя о фиче, исправимся. Можно, конечно, любые недосмотры трактовать как намеренный вред, но тогда см. выше — растеряем аудиторию. Действия, приводящие потенциально к потери аудитории, только сумасшедший будет проводить намеренно.