Autor Zpráva
Anonymní
Profil *
Jeden linuxak mi rekl, ze mam prestat pouzivat email na Seznam.cz , protoze se tam dostane kazdy diky znamym chybam, ktere Seznam neni schopen odstranit. Samozrejme jsem neuposlechl a on mi zmenil heslo. Nemohu se dostat na svuj ucet a on mi odmita heslo vydat. Muzete mi prosim poradit o jakou chybu na Seznamu se jedna? Rad bych pronikl opet na svuj ucet zpet a zamezil mu v jeho jednani...
thingwath
Profil
Hezký pokus. Takovýto problém jistě vyřeší technická podpora seznamu. Nemám nic proti pohádkám před spaním, ale spát půjdu až později, takže mi je zatím říkat nemusíš :-)
Spikee
Profil
Anonymní
Nedal si mu to heslo náhodou ty ;-)

thingwath
Dobrú noc :-)
DoubleThink
Profil *
Doporučil bych vaší pozornosti článek na Lupě: Je náročné se dostat do cizí webmailové schránky?
thingwath
Profil
DoubleThink
Sice tyto informace pravděpodobně nebude schopen zneužít, nicméně i tak by si je měl, když už chce něco takového dělat, najít vlastníma silama, nevidím důvod mu to nějak ulehčovat. Osobně bych tohle vlákno zamknul, ta jeho pohádka je zcela nedůvěryhodná a i kdyby byla, nastínil jsem vhodný způsob řešení problému.
Anonymní
Profil *
Seznam mi nepomuze, nezbyde nez to vyresit slovni dohoduou se zarytym linuxakem s trochu zvlastnimi sklony....

to thingwath: Diky za duveru, ale ne vsichni si vymysleji...
thingwath
Profil
Šance, že si nevymýšlíš je mizivá. Tento příběh má všechny předpoklady na to, abych ho považoval za smyšlený. Je to skoro učebnicový příklad oblíbených sociálních technik, ale dosti amatérský (je zacílen špatně, tady nikdo požadovanou informaci nejspíše nemá a pokud ano, určitě ji tak snadno nesdělí).

Co je zásadní, pokud jsou v seznamu nějaké bezpečnostní mezery, jakože pravděpodobně jsou, tak má seznam jistě snahu bezpečnost zajistit a pak, pokud někdo mezeru objeví, tak má o bezpečnosti jisté povědomí, dostačující na to, aby si uvědomil, že příběh je smyšlený a lehce nereálný.
Kráťa
Profil
...a pak tam byl slon a ten lítal...
Yuhů
Profil
Řeknu ti to takhle: pokoušel jsem se proniknout do cizí pošty koncem roku 2003 ještě JAKO ZAMĚSTANEC SEZNAMU. Nepodařilo se mi to.

1. neúspěšná metoda
Klasická metoda je poslat napadenému uživateli přílohu, která obsahuje odkaz na můj server. Prokliky z normálních mailů jsou samozřejmě redirectované, ale pokud si uživatel z webovky otevřel přílohu, tak tam se ještě odkazy neredirectovaly, takže jsem mohl v logu (pokud by si uživatel kliknul) vidět referrera se session ID. Nyní je ta chyba odstraněna, ale tenkrát to tuším ještě šlo (neberte mě za slovo, co se týká konkrétního data útoku).

Jenomže session ID je vázáno na IP adresu a rychle vyprší. Musel bych tedy sedět na stejné vnitřní síti, jako seděl napadený.

2. neúspěšná metoda
Ani jako kodér ani jako projektový manažer jsem na Seznamu neměl přístup na ostré servery, kde leží databáze uživatelů. Moc jsem kluky svými útoky netrápil, ale do ostré databáze jsem se nedostal ani testovací aplikací, z CVS jsem hesla pro připojení k ostré databázi také nevysochal, nejsou tam. Znají je (možná) admini a spravují je na úrovni konfiguráků, která je od programátorů oddělená.



V praxi bych na proniknutí do emailu použil spíše phishing nebo odposlouchávání komunikace se serverem. Pokud ten slavný "linuxák" má přístup k serveru, přes který se napadený připojuje k libovolné poště (ať už přes POP3 bez SSL nebo k přihlašovacímu webovému formuláři bez SSL), tak si tam heslo může odchytnout v paketech. Takže to se netýká jenmo Seznamu.

Phishing se kromě klasické formy dá používat i trochu záludněji tak, že si na vlastním serveru připravím co nejpodobnější kopii formuláře "vaše heslo vypršelo, přihlašte se znovu". Potom pošlu napadenému mail, který ho nějakým způsobem (třeba prostým odkazem) na tu mou stránku dostane. Uživatel heslo zadá a já ho mám.

A to se nezmiňuji o slovníkových útocích. Kolem roku 2002 jsem se bavil pročítáním mailů, které používaly stejné heslo jako přihlašovací jméno.
Anonymní
Profil *
Uz jsem se usmiril a bylo mi poskytnuto nove heslo. Vyuzil chyby, kterou maji pry prakticky vsechny free emaily, a vedi o tom, ze heslo i login posilaji nezasifrovane. Udelal programek, ktery projizdel vsechny mnou odesilana data a odchytil si informace posilane ze Seznamu. Mrazive jednoduche...
Yuhů
Profil
> Vyuzil chyby, kterou maji pry prakticky vsechny free emaily

nejenom free emaily, tu chybu mají prostě všechny emaily

Jediné řešení je vybírat a odesílat poštu přes SSL.
Anonymní
Profil *
U nas ve firme to je kodovane.
thingwath
Profil
To je vlastnost poštovních protokolů. Hesla jsou v plaintextu a když to člověk dokáže zachytit (což pochopitelně znamená být někde na trase), tak není nejmenší problém to přečíst.

Na seznamu jde použít SSL?
Toto téma je uzamčeno. Odpověď nelze zaslat.