Открытка компании: в почту Mail.ru можно попасть по рефереру?

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте (//roem.ru/tip/), и могут быть опубликованы без предварительной модерации.

В логах статистики мы частенько замечали не один переход по ссылкам из входящей почты на сервере mail.ru. По понятным причинам мы даже не пытаемся такие ссылки открывать.

Но сегодня я случайно нажал на refferer вида http://win.mail.ru/session/7250…. И каково же было моё удивление, когда перед глазами открылся ящик ничего не подозревающего пользователя сервиса mail.ru!

Привожу соответствующие скриншоты. Сначала логи из статистики: Так выглядит реф.ссылка в статистике http://toogeza.com/wp-content/uploads/2008/10/hole_in_mail_ru-01.gif А вот и почта пользователя (нашего читателя), в которую мы попали по вышеприведённой ссылке: А вот и дыра в почту, по реф. ссылке из статистики http://toogeza.com/wp-content/uploads/2008/10/hole_in_mail_ru-02.gif

Я правильно понимаю, что Mail.ru - это дыра? Точнее ДЫРЕНЬ? ДЫРИЩА?

ps: Письма пользователя я не читал и пароли ему не менял - привычки такой не имею. Но написал письмо с предупреждением о дыре. А для пущей убедительности создал ему письмо в черновиках.

ps2: пользуйтесь gmail.com что ли…

Лучшие комментарии

Максим Зотов LiveInternet

Если пользователь сидит за особым прокси-сервером, который представляет собой сеть прокси (такая сеть, например, в AOL), то запросы этого пользователя приходят с разных IP, поэтому сессию нельзя привязать к IP-адресу. Вот и приходится выбирать, какую из проблем подсунуть пользователю: чтоб он и сам не мог войти в почтовый ящик или чтобы все подряд могли входить :)

Максим Зотов LiveInternet

PS. на самом деле я не знаю, почему в mail.ru не привызываются к IP, это только предположение.

Добавить 37 комментариев

Вообще это детская ошибка. У меня такого повторить с реферами не получилось.

У меня такое же было с Мэйл.ру. Ссылка, похоже, работает, пока человек залогинен, т.е. сессия не истекла.

Для того, что бы у тебя был такой реферер, по-моему, нужно зайти в настройки почтового ящика и отключить там глочку «Использовать cookie для авторизации», под которой написано: «Опцию «Использовать cookie для авторизации» предпочтительно не выключать. Включение этой опции позволяет системе сохранять сессию в данном п/я, при этом не нарушая безопасности этого п/я. Выключение этой опции нарушает безопасность, так как позволяет передавать информацию на чужие сайты. Выключать ее стоит только при «попадании» в чужой п/я (данная ошибка обычно возникает при неправильно настроенном proxy-сервере). «

Может там когда отключены куки оно сессию по урлам гоняет? Вот и наказание для параноиков, до сих пор отключающих куки.

PS. на самом деле я не знаю, почему в mail.ru не привызываются к IP, это только предположение.

Блин. Всё это регулируется в настройках почтового ящика, но крутым экспертам естественно лень туда посмотреть. По умолчанию сессия хранится в куке, а не в URL и проблемы не существует.

gornal, так вроде никто тут и не пишет, что проблема глобальная. Но если в движок изначально заложено, что, скажем, 1% ящиков является гарантированно уязвимымы, то что, проблемы не существует? Я сейчас за 1 минуту собрал сессии для пары сотен ящиков. Это не проблема?

Уязвимы те ящики, владельцы которых по той или иной причине сами выбрали свою судьбу. Соизмеримый процент ящиков имеет совпадающий логин и пароль — это тоже ДЫРИЩА? >Я сейчас за 1 минуту собрал сессии для пары сотен ящиков. Это не проблема? Таких как ты — очень немного. В порядки большее количество людей может собирать соизмеримое количество сессий/паролей _другой_почтовой_системы_, фильтруя трафик 80/110-ого порта. ДЫРИЩА?

2zotov: Максим, а часто вы используете у себя в LiveInternet информацию счетчиков LiveInternet для сбора конфиденциальной информации пользователей?

Да, согласен, не дырища. Посмотрел настройки, без знания пароля ничего поменять нельзя (это к фразе «пароли ему не менял»), только посмотреть почту и какую-то личную информацию. И галочка привязки к IP есть, но она выключена по умолчанию и не включается, если убрать использование кук. По-моему, если уж не жёстко требовать привязку к IP при работе без кук, то хотя бы автоматически её включать.

Саш, я тебя приведу пример. Тут в свое время, например, Li.ru попеняли на то, что c помощью картинки счетчика про обсчитываемый сайт можно узнать до черта информации, даже если вебмастер этого не хотел. Баг не приводил к утечке личных данных, проявлялся при редком (относительно) сочетании параметров. Его убрали. Тут баг _ведет_ к утечке личных данных. Ты честно считаешь его фичей?

Кстати — запрещать пароль совпадающий с логином научился даже «Суп». Пароль, где логин записан справа налево — тоже. Просто как пример.

> LiveInternet для сбора конфиденциальной информации пользователей? Да это ж очевидно, что LiveInternet только для этого и был сделан. Так же как, допустим, mail.ru был сделан, чтобы читать личную почту миллионов :)

Юра, ставишь всё с ног на голову. В li.ru был баг, ведущий к утечке конфиденциальной, бизнес-критичной информации, защититься от которого можно было только отказавшись от услуг liveinternet. Тут фича, позволяющая использовать почту в тех условиях, в которых не работает _другая_почтовая_система_, снижающая безопасность, причем включить её пользователь должен сам. Можно этот «баг» исправить, но условный 1% пользователей останется без почты. Их личные данные будут в офигенной безопасности.

Ну то есть если клиент хочет деревянный автомобиль, но в деревянный, по ряду причин, нельзя поставить тормоза — то такими деревянные автомобили и надо делать? Чо ж, оставлять юзеров без автомобилей что ли? Пусть ездят без тормозов

2 gornal: Можно исправить и никто не останется без почты. Например ссылки в письмах в таких случаях делать через редирект.

Lavrentiy, кроме ссылок есть ещё письма с картинками.

zotov, картинки как раз можно отключить по умолчанию (не помню, как на mail.ru) Lavrentiy, JFYI, редирект не меняет реферрер. А через промежуточную страницу нельзя пробросить форму. sinodov, если клиент отпилит себе педаль тормоза — его автомобиль заведется. Это нормально. Человек знает, на что идет, «не должно быть оружию умнее человека». И я так и не понял, нужно ли _другой_почтовой_системе_ исправлять баг, заключающийся в поддержке протокола pop3? Там не только сессию, там пароль можно подсмотреть.

> А через промежуточную страницу нельзя пробросить форму. Какую форму? о_О

Ответа на комментарий в ЖЖ из письма-уведомления, например.

То есть пусть лучше их почту все читают, чем они не смогут написать в ЖЖ из письма-уведомления? Оригинально.

Пусть лучше их почту имеет возможность читать администратор ЖЖ, чем они не смогут написать в ЖЖ из письма-уведомления? Да. Безусловно. Можете устроить опрос среди этих пользователей. (Мне кто-нибудь ответит про pop3?)

А, то есть оно не перекидывается через промежуточную страницу, режущую реферер, только для ЖЖ? Весьма похвальная система, жаль, что это неправда.

Нет. Формы отправляются только на тот сайт, на которые их отправляет пользователь. И читать реферры может только администратор этого конкретного сайта.

Я очень рад, что ты умеешь меня тему, правда, это полезное умение. А теперь, если несложно, объясни, пожалуйста, каким образом формы относятся к тому, что в _этой_почтовой_системе_ ссылки не прокидываются через промежуточную, режущую реферер, страницу?

Ссылки можно прокидывать через промежуточную, режущую реферрер страницу. И это наверное будет правильно. Как, наверное, и предложение Максима. Только это никак не поможет пользователям (у них и сейчас проблемы нет) и никак не помешает экспертам по ДЫРИЩАМ, т. к. останется проблема форм и, возможно, картинок. Насчет смены тем — забавно: kukutz: форму? gornal: ага, например, для ЖЖ. kukutz: только для ЖЖ?? Врете! gornal: нет, не только для ЖЖ. kukutz: а как формы относятся к ссылкам? Ты тему разговора сменил!

То есть, когда почту пользователя читают посторонние, это не является для него проблемой? Ой-вей. А тему на формы сменил ты в 11.10.2008 11:02:38.

Т. е. благодаря этой «проблеме» посторонние читают ничтожно малое число почт. Даже в масштабах mail.ru — возможно количество реальных проблем действительно равно нулю. /* Если ты сейчас демонстративно залезешь в пару ящиков, это не будет опровержением моих слов — чтение почты тобой незнакомого пользователя не является проблемой для него (и я тоже могу в принципе почитать переписку _другой_почтовой_системы_ благодаря другой ДЫРИЩЕ). */ Потенциальная и нереализуемая возможность не является проблемой пользователей. Особенно в сравнении с теми ужасами, которые реально происходят по совершенно другим причинам ежедневно как на mail.ru, так и на _другой_почтовой_системе_. (Я сомневаюсь, что ты не можешь спать из-за астероидной опасности, особенно если живешь где-нибудь в Гарлеме.) До 11:02:38 кто-то говорил про промежуточные страницы, с которых я якобы увел тему? Оригинальное прочтение дискуссии.

Оно не равно нулю — посмотри с какого кейса начало все обсуждаться Более того — у многих рефереры открыты. Может человек не всегда их увидит, а боты поисковых систем? Ведь клево же будет, если какой-нибудь «Яндекс» одному проценту юзеров Mail.ru поиндексирует один процент их почты, да?

Я аккуратно прочел кейс перед своим комментарием: «ps: Письма пользователя я не читал «. Опять астероидная опасность (ссылка живет 2 часа, кстати) в сравнении с реальной невозможностью пользоваться _другой_почтовой_системой.

2 gornal: > Lavrentiy, JFYI, редирект не меняет реферрер. Если ставить meta-редирект, то referrer убирается вообще. Если отправлять на промежуточную страницу, с которой делать редирект на javascript или вообще не делать редирект, а спрашивать юзера, хочет он перейти или нет (вместо окна с вопросом, которое показывается сейчас), то в реферере будет промежуточная страница. Но мне кажется, что это всё припарки, правильным решением была бы насильная привязка к IP при выключенных куках, тогда никаких выключений картинок, промежуточных страниц для прятания реферера не нужно. > Человек знает, на что идет В том-то и дело, что не знает. Ему сообщается о какой-то там условной безопасности, но он не понимает реальных последствий. Особенно, когда галочка привязки к IP выключена по умолчанию. Пользователь, выключая одну галочку про куку, еще может почитать описание про эту галочку, но точно не будет читать описание про другую галочку, которую он не менял. > Можно этот «баг» исправить, но условный 1% пользователей останется без почты. Не 1%. Если включить жёсткую привязку к IP при выключенных куках, то лишатся почты какие-то тысячные доли процента: те, которые отключили куки (пусть 1%) и одновременно с этим заходят через разные IP (таких ещё меньше, пусть 0.1%, хотя, вероятно, ещё меньше), итого 0.001%. И эта тысячная процента, думаю, вполне может всё-таки включить куки, чтобы пользоваться почтой.

>И это наверное будет правильно. Как, наверное, и предложение Максима. Но панацеей оно не будет. Значимое (десятки процентов) число пользователей, которым осмысленно воровать друг у друга почту сидят в одном офисе под одним IP.

Кстати, сейчас проверил: если выключить в браузере куки, то в ящик вообще нельзя попасть (в настройках ящика галочка кук включена). Выкидывает на страницу http://win.mail.ru/cgi-bin/login и на ней ничего не написано ни про куки, ни про то, почему меня не пустили в ящик. Просто форма логина. Как мне зайти в настройки ящика, чтобы убрать галочку про куки, тем более, если я не знаю, что проблема в выключенных куках?

2 gornal: про редирект я в курсе, я имел в виду яваскриптовый, zotov вон и мета предложил. В принципе если сильно подумать, то можно забороть и картинки и формы. Только решение будет слишком массивное для решения такой непопулярной проблемы. Тут я согласен с Зотовым надо для начала посмотреть нельзя ли решить гениально — т.е. по простому.

📎📎📎📎📎📎📎📎📎📎