Обнаружена дыра в Mail.ru
В логах статистики мы частенько замечали не один переход по ссылкам из входящей почты на сервере mail.ru. По понятным причинам мы даже не пытаемся такие ссылки открывать.
Но сегодня я случайно нажал на referrer вида http://win.mail.ru/session/7250.... И каково же было моё удивление, когда перед глазами открылся ящик ничего не подозревающего пользователя сервиса mail.ru!
Привожу соответствующие скриншоты. Сначала логи из статистики:
А вот и почта пользователя (нашего читателя), в которую мы попали по вышеприведённой ссылке:
Я правильно понимаю, что Mail.ru — это дыра? Точнее ДЫРЕНЬ? ДЫРИЩА?
ps: Письма пользователя я не читал и пароли ему не менял — привычки такой не имею. Но написал письмо с предупреждением о дыре. А для пущей убедительности создал ему письмо в черновиках.
ps2: Пользуйтесь gmail.com что ли... Почитайте как переехать на Gmail
ps3: Да и фиг с ним, с mail.ru лучше посмотрите новый мультик, который сделал мой сын! :)
ps4: а ещё мы сегодня поставили себе новые пластиковые окна — вот радость!
Я этот баг обнаружил еще лет 5 назад, когда делал свой первый сайт и просматривал статистику. Тогда ко мне так заходили люди из рассылки, которую я вёл. Странно, что mail'овцы до сих пор не заделали эту дыру.
Молодцы, ребят! :)
Я этот баг тоже давно обнаружил. Однако, да... дырища
Спросил про это на Хабре:
Там в комментах разъяснили ситуацию.
да это баян. козлам из mail.ru — на это насрать.
все переходим на gmail.com =)
Да Мэйл.ру г***ище еще то! Там г**на столько сколько во всем рунете не сыщешь. М***цкий сервис, очень м***цкий сервис.
Можно подумать, кроме гмайла негде ящик зарегистрировать... Пиар голимый.
У меня есть подозрение, что это ещё как-то связано со статкаунтером (точнее, тем, как он обсчитывает ваш сайт) или браузером пользователя (что он передаёт в поле referrer).
Думаю так потому, что у меня люди, идущие с mail.ru отображаются ссылками видаwin.mail.ru/cgi-bin/readm...5900410000005816 , при этом ничего, содержащего «session» я ни разу не видел.
а что еще ктото использует веб-интерфейс??? ужос
1 пользуйтесь firefox с установленным refcontrol
2 пользуйтесь firefox только для того чтоб создать ящик и настроить почтовую программу
3 пользуйтесь почтовой программой
Аутлук и аутлук экспресс — НЕ почтовые программы это ДЫРЫ есть масса платных и бесплатных программ в том числе и портабельные(которые не требуют установки и могут запускаться с флэшки)(the bat,thunderbird etc)
4 не проверяйте почту с чужого компа! кейлоггер поставить элементарно.пунтосвичер стоит у многих и тоже запоминает набранные пароли.
5 ставьте нормальный пароль от 8 знаков который не ломается по словарю
6 не оставляйте в сети личные данные
7 Не соблюдаете правила — сами виноваты.
Просто юзерам надо иногда нажимать на кнопку «выход», тогда ведь эта строчка с набором букв и цифр меняется (код, который в парольном кэше хранится), и уже не войдешь через такую дыру. Ну, впрочем, это всем известно...)
просто нужно зайти в настройки и поставить галочку: использовать cookie для авторизации. тогда идентификатор не будет передаваться на другие сайты. Ну и ограничить сессию по IP. А иначе любая картинка в письме может привести к взлому почты.
А мне нечего скрывать!
хз... у меня в логах только такие ссылки:
по ним в ящики не зайдешь
2Дмитрий (#9 ) и Ярослав (#13 ): удивительное дело, но статкаунтер лежит с 7 часов утра. Интересно, у всех так или только у нас?
У меня всё работает. Прямо сейчас открыт в соседнем окне.
Ну и ссылку для моего комментария выше я тоже оттуда скопировал.
Комментарий выше (№15) от меня. В выпадающем списке Файрфокса немного не то выбрал.
Если отправить пользователю mail.ru письмо со ссылкой, и он по ней перейдет с мобильной версии, то поймав реферер можно зайти на его ящик и делать всё что угодно.
Гы-гы, еще один кулхацкер, который про session id никогда не слышал...
Поставь в настройках безопасности «использовать кукисы для авторизации». Дыру он нашел, блин.
ребята,обьясните где эти логи посещений можно увидеть?
алексей75, логи можно увидеть в статистике посещаемости сайта. Впрочем, всё самое важное показано на приведённых выше иллюстрациях (скриншшотах).
Если в статистике лива то какой именно пункт?
алексей75, это statcounter.com пункт «recent came from»
А так можно открыть ящик любого пользователя или только того, номер сессии которого знаешь (ну или наугад)?
А почему у меня в реффер только readmsg?id=12239 приходит, но никак не session
Ну и ну! Сейчас же сообщу всем знакомым — у многих почта на mail.ru (сама я ею никогда не пользовалась, считая неудобной). Спасибо!
не открывается почта на майле что делать помогите
а подробней можно!!!
пошли вы в сраку говнотеры
ejnd, мы тоже вас очень любим!
а что делать то?
да вы, сударь, хакер! :)
Привет всем, у меня увели мейл что делать как его вернуть и как противостоять этому где всетаки дыра у мейла объясните чайнику?
А по подробнее можно, где найти на mail.ru статистику?
чё за херня с мэил ру я почту создал а прочитать немогу на стронице пусто а пишут непрочитаные подскажите что делать народ?