Обнаружена дыра в Mail.ru

Альберт

Альберт

Отец троих детей. Опыт руководства и управления детьми с мая 1999 года. :)

Читайте также:

37 комментариев

  1. Я этот баг обнаружил еще лет 5 назад, когда делал свой первый сайт и просматривал статистику. Тогда ко мне так заходили люди из рассылки, которую я вёл. Странно, что mail'овцы до сих пор не заделали эту дыру.

  2. Висельник:

    Молодцы, ребят! :)

    Я этот баг тоже давно обнаружил. Однако, да... дырища

  3. Спросил про это на Хабре:

    habrahabr.ru/blogs/infosecurity/42049/

    Там в комментах разъяснили ситуацию.

  4. 546456:

    да это баян. козлам из mail.ru — на это насрать.

  5. Goldie:

    все переходим на gmail.com =)

  6. Руслан:

    Да Мэйл.ру г***ище еще то! Там г**на столько сколько во всем рунете не сыщешь. М***цкий сервис, очень м***цкий сервис.

  7. Disconnector:

    Можно подумать, кроме гмайла негде ящик зарегистрировать... Пиар голимый.

  8. У меня есть подозрение, что это ещё как-то связано со статкаунтером (точнее, тем, как он обсчитывает ваш сайт) или браузером пользователя (что он передаёт в поле referrer).

    Думаю так потому, что у меня люди, идущие с mail.ru отображаются ссылками вида win.mail.ru/cgi-bin/readm...5900410000005816, при этом ничего, содержащего «session» я ни разу не видел.

  9. прохожий:

    а что еще ктото использует веб-интерфейс??? ужос

    1 пользуйтесь firefox с установленным refcontrol

    2 пользуйтесь firefox только для того чтоб создать ящик и настроить почтовую программу

    3 пользуйтесь почтовой программой

    Аутлук и аутлук экспресс — НЕ почтовые программы это ДЫРЫ есть масса платных и бесплатных программ в том числе и портабельные(которые не требуют установки и могут запускаться с флэшки)(the bat,thunderbird etc)

    4 не проверяйте почту с чужого компа! кейлоггер поставить элементарно.пунтосвичер стоит у многих и тоже запоминает набранные пароли.

    5 ставьте нормальный пароль от 8 знаков который не ломается по словарю

    6 не оставляйте в сети личные данные

    7 Не соблюдаете правила — сами виноваты.

  10. Олег:

    Просто юзерам надо иногда нажимать на кнопку «выход», тогда ведь эта строчка с набором букв и цифр меняется (код, который в парольном кэше хранится), и уже не войдешь через такую дыру. Ну, впрочем, это всем известно...)

  11. Android:

    просто нужно зайти в настройки и поставить галочку: использовать cookie для авторизации. тогда идентификатор не будет передаваться на другие сайты. Ну и ограничить сессию по IP. А иначе любая картинка в письме может привести к взлому почты.

  12. Марина:

    А мне нечего скрывать!

  13. Ярослав:

    хз... у меня в логах только такие ссылки:

    win.mail.ru/cgi-bin/readm...6546530000017055

    по ним в ящики не зайдешь

  14. 2Дмитрий (#9) и Ярослав (#13): удивительное дело, но статкаунтер лежит с 7 часов утра. Интересно, у всех так или только у нас?

  15. У меня всё работает. Прямо сейчас открыт в соседнем окне.

    Ну и ссылку для моего комментария выше я тоже оттуда скопировал.

  16. Комментарий выше (№15) от меня. В выпадающем списке Файрфокса немного не то выбрал.

  17. Если отправить пользователю mail.ru письмо со ссылкой, и он по ней перейдет с мобильной версии, то поймав реферер можно зайти на его ящик и делать всё что угодно.

  18. Zulkar:

    Гы-гы, еще один кулхацкер, который про session id никогда не слышал...

    Поставь в настройках безопасности «использовать кукисы для авторизации». Дыру он нашел, блин.

  19. алексей75:

    ребята,обьясните где эти логи посещений можно увидеть?

  20. алексей75, логи можно увидеть в статистике посещаемости сайта. Впрочем, всё самое важное показано на приведённых выше иллюстрациях (скриншшотах).

  21. алексей75:

    Если в статистике лива то какой именно пункт?

  22. алексей75, это statcounter.com пункт «recent came from»

  23. Андрей:

    А так можно открыть ящик любого пользователя или только того, номер сессии которого знаешь (ну или наугад)?

  24. Вася:

    А почему у меня в реффер только readmsg?id=12239 приходит, но никак не session

  25. Ну и ну! Сейчас же сообщу всем знакомым — у многих почта на mail.ru (сама я ею никогда не пользовалась, считая неудобной). Спасибо!

  26. Аноним:

    не открывается почта на майле что делать помогите

  27. veter:

    а подробней можно!!!

  28. ejnd:

    пошли вы в сраку говнотеры

  29. ejnd, мы тоже вас очень любим!

  30. Аноним:

    а что делать то?

  31. Jade:

    да вы, сударь, хакер! :)

  32. Sergzh:

    Привет всем, у меня увели мейл что делать как его вернуть и как противостоять этому где всетаки дыра у мейла объясните чайнику?

  33. Настя:

    А по подробнее можно, где найти на mail.ru статистику?

  34. чё за херня с мэил ру я почту создал а прочитать немогу на стронице пусто а пишут непрочитаные подскажите что делать народ?

  1. 2009/01/04

    [...] Обнаружена дыра в почте Mail.ru [...]

  2. 2009/04/12

    [...] Прошлый раз я рассказывал про дырень дырищу в мейл.ру (пост собрал 10,5 тыс. посетителей), а сегодня давайте познакомлю вас с дыренью в популярной базе данных ФСБ социальной сети, объединяющей миллионы российских пользователей по всему миру — вконтакте.ру. Дыра заключается в том, что можно посмотреть закрытые для “недрузей” фотки. Правда же, приятная дыра?! [...]

  3. 2009/07/12

    [...] Блог Toogeza описывает обнаруженную в Mail.Ru дыру, приводящую к возможности входа в чужой почтовый ящик [...]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *