Раздел: Документация

0 ... 40 41 42 43 44 45 46 ... 169

возможности кражи списков почтовых адресов, отбора почтовых ящиков, чёрный ход, оставленный одним из программистов, позволяющий узнать пароль и отобрать или прослушивать почтовый ящик, и, наконец, сам сервер был ненадолго взломан. Последняя широко опубликованная ошибка в WWW-интерфейсе была обнаружена в январе 2001 года. К счастью, болезненные уроки пошли впрок и на сегодня известные серьезные убраны, а роль безопасности пересматривается. Надо отдать должное службе поддержки, которая работает очень оперативно, устраняя ошибки даже в праздничные дни.

Безопасность. Очевидные недостатки.

— Защищенных соединений, увы, не поддерживает.

-- При регистрации предлагает нестойкие секретные вопросы (общая болезнь).

Неочевидные недостатки. Несмотря на то, что при попытке изменить настройки требуется ввести старый пароль, при открытии

формы «Личные данные» открытым текстом высвечиваются секретный вопрос и ответ на него, что делает возможным их похищение при включённом Javascript (например, методом «поддельной открытки»), с полным доступом к ящику в итоге.

Требует лично заходить на сервер не реже, чем раз в полгода, иначе ящик будет отключен и его сможет захватить кто угодно. Единственная выявленная возможность несанкционированно выполнить скрипт является не просчетом программистов, а ошибкой некоторых версий IE, позволяющей некорректному серверу вместо рисунка подставить HTML-код.

Content-Type: image/gif; charset = us-ascii Content-Transfer-Encoding: 7bit < script > < /script >

Безопасность. Достоинства.

-Возможность работы без поддержки Javascript.

-Регистрация последнего доступа к ящику.

-Явное сообщение на первой странице о включенной пересылке.

Итог. Долгие издевательства над сервером привели к существенному росту уровня безопасности и пересмотру методов ее реализации. На сегодня ошибки могут в основном подстерегать вас в WWW-ин-терфейсе, но возможность работы без языков сценариев позволяет свести этот риск к минимуму, если вы настроите браузеры или перед работой будете отключать Javascript (в Орега и Netscape).

131

---

В общем, если вам не нужна секретность (конфиденциальность)

или вы планируете обеспечить ее шифровкой самих писем, Mail.ru -хороший выбор. Чтобы не рисковать и не страдать от медленной работы и маленького ящика — используйте переадресацию. Изредка заходите, проверяйте, не заглядывает ли кто посторонний (по времени последнего доступа). Работая с Веб-почтой, никогда не открывайте

сразу ссылки, приведенные в письме. Это чревато кражей секретного вопроса и ответа. Скопируйте ссылку в буфер (правой кнопкой мыши), выйдите из почты соответствующей кнопкой и только после этого откройте в новом окне браузера ссылку. Долго? Зато безопасно. Как альтернативный вариант, перед чтением писем можно отключать Javascript (активные сценарии) и Java.

freemail.ru (km.ru)

Заявленные возможности. Короткое имя сервиса.

Предоставляет 5 Mb места. Возможность работы по WWW-интерфейсу. Стандартные протоколы РОРЗ и SMTP. Пересылку не поддерживает. Фильтрации нет.

Встроенная антивирусная проверка есть.

Защищенных соединений, увы, не поддерживает.

Безопасность. Очевидные недостатки:

-Восстановление пароля производится только по резервному e-mail. Грамотный секретный вопрос был бы лучше.

-Изменение настройки производится свободно, подтверждения не требует, место отсылки формы не проверяется: очень опасное решение!

От элементарного отбора адресов спасает только полная фильтрация тегов, приводящая к ухудшению качества приходящего письма, и возможность работы без активных сценариев, но с учетом отсутствия проверки содержимого вложений, описанных как рисунки. Те, кто смотрит почту с Веб-интерфейса через MS IE, могут лишиться ее даже при попытке открыть вложенный рисунок (а открывать их приходится, т. к. сама служба этого не делает из-за блокировки тегов). Вполне

применим и метод «поддельной открытки». Достоинства:

-Возможность работы без поддержки Javascript.

132

---

— Всеобщая фильтрация тегов — достаточно кардинальное, хотя и неудобное решение проблемы с несанкционированными скриптами. Осталось только вложенные файлы проверять!

Итог. Веб-интерфейсом вообще лучше не пользоваться до его доработки. Отсутствие пересылки сильно снижает полезность сервиса. Отсутствие секретного вопроса затрудняет возможность возврата украденного логина.

Newmail.ru (hotmail.ru, nm.ru)

К сожалению, этот сервис прекратил регистрацию новых пользователей и нормально протестировать его нет возможности.

Заявленные возможности. Предоставляет до трёх адресов на один ящик. Размер почтового ящика — 10 Mb.

Возможность работы по WWW-интерфейсу.

Поддерживает стандартный протокол РОРЗ для приема почты.

Поддерживает пересылку.

Поддерживает фильтрацию.

Встроенной антивирусной проверки нет. Защищенных соединений, увы, не поддерживает.

История. Сервис существует около двух лет. Последний раз автор проверял его больше года назад. Потом забыл зайти подтвердить регистрацию и аккаунт был удален. Впечатления о себе оставил неплохие, но полностью «поддерживал» основные ошибки.

Безопасность. Очевидные недостатки:

-При регистрацииопасные секретные вопросы.

-Данные годичной давности.

-Смена настроек не была защищена паролем.

-Пропускались теги сценариев в обработчиках событий (On

OnMouseMove) основных тегов, что открывало перспективы лёгкого отбора ящиков способом, аналогичным описанному для inbox.ru.

Неочевидные недостатки. Требует лично заходить на сервер не реже, чем раз в полгода, иначе ящик будет отключен и его сможет захватить кто угодно.

Безопасность. Достоинства. Появился способ захода с возможностью работы без поддержки Javascript (хороший признак). Логин для управленния аккаунтов может не совпадать с именем ящика

(очень полезная идея).

Итог. В принципе, о безопасности думали, времени прошло не-

133

0 ... 40 41 42 43 44 45 46 ... 169