- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Обнаружил тут, что практически никто не предоставляет безопасную авторизацию (не путать с безопасным соединением). Mail.ru не предоставляет. Вот к mail-серверам Peterhost можно авторизоваться безопасно по методу MD5-CRAM-HMAC в TheBat. Что за хрень такая? Ведь если не безопасно авторизовываться, то логины/пароли в открытую летят по интернету? Недобросовестные служители интернета, вполне этими паролями могут воспользоваться для взломов ящиков.
Ведь если не безопасно авторизовываться, то логины/пароли в открытую летят по интернету?
Каким образом и почему ещё не разлетелись, те которые не сбручены?🍿
что практически никто не предоставляет безопасную авторизацию
Даже двойную предоставляют, не говоря уже по IP.
Хотя СМС - это ненадёжно и дыра.
по методу MD5-CRAM-HMAC
Это не авторизация, а аутентификация.
Каким образом и почему ещё не разлетелись, те которые не сбручены?
А почему вы так в этом уверены? У людей взламывают ящики только в путь, и никто достоверно не знает как это делается. А люди просто меняют пароли и заводят новые ящики.
Это не авторизация, а аутентификация.
Пусть так, о ней и речь.
Странно, что крупные сервисы типа Mail.ru позволяют гулять паролям по сети в открытом виде. В Справке к TheBat написано, что у MSN/Hotmail, Compuserve свои авторские методы аутентификации, и TheBat их поддерживает. Но хотя бы стандартные поддерживали.
А почему вы так в этом уверены? У
Ну хотя бы потому, что за я на том же маилру зарегал первый ящик когда им было пару месяцев. И до сих пор никто у меня его не увёл и не слил. Само мыло -да, спама там.. но не доступы. На всяких других сервисах аналогично. Единственный раз и это было буквально в прошлом году я зарегал на гугле пару мыл, но задал им не особо сложные пароли (думал поменять после) и они улетели буквально через 10 мин. Но тут сложно сказать как - регал я их через эмулятор андроида.
Пароли уводятся либо брутом, либо локальными вирями, либо соц инженирией. Перехватить его и прочитать.. я хотел написать "нереально", но .. с введением повальной httpsации и у юных кулцхакеров появляются инструменты подмены сертификатов недалёким юзерам. Теоретически они могут что-то расшифровать, но это нафик не нужно, тк попав в канал есть более простые способы доступа к данным жертвы (почте в данном случае).
Пусть так, о ней и речь.
Это разные вещи :)
Странно, что крупные сервисы типа Mail.ru позволяют гулять паролям по сети в открытом виде.
Где кто как гуляет? Что ты несёшь..
Пароли передаются шифровано по SSL. Никому, кроме получателя и отправителя они не доступны.
Ну хотя бы потому, что за я на том же маилру зарегал первый ящик когда им было пару месяцев. И до сих пор никто у меня его не увёл и не слил.
Значит админы Mail.ru чистоплотные или контроль за ними соответствующий, и наказание за использование служебной информации. Но это не отменяет самого факта. Вам напомнить о нечистоплотных админах, которые слили приватный ключ для WinRAR c сервера? После чего стало возможным генерить легальные ключи в любом количестве. То-та.
Где кто как гуляет? Что ты несёшь..
Пароли передаются шифровано по SSL. Никому, кроме получателя и отправителя они не доступны.
Соединение по SSL и аутентификация по MD5-xxx - разные вещи. Сначала идет аутентификация с сервером, передается логин и пароль в открытом виде, потом устанавливается защищенное соединение по SSL и данные передаются зашифрованными.
Вот выдержка из справки TheBat (речь про POP3):
Обычная - этот параметр означает, что пароль передается от клиента к серверу в открытом виде.
MSN (NTML) - выберите этот параметр, если вы получаете почту с MSN/Hotmail ящиков.
Compuserve (RPA) - метод авторизации используемый в сети Compuserve.
MD5 APOP Запрос/Подтверждение (RFC-1734) - выберите это параметр для использования APOP аутентификации.
MD5 CRAM-HMAC Запрос/Подтверждение (RFC-2095) - выберите этот параметр, если поддерживается CRAM аутентификация.
Сервера Peterhost поддерживают последнюю из списка аутентификацию, и я ей пользуюсь, а Mail.ru только первую - незащищенную.
Вопросы?
безопасно по методу MD5-CRAM-HMAC
MD5? Безопасно?
STARTTLS же.
В общем, я спросил у саппорта TheBat, они ответили, что в случае безопасного соединения TLS, пароль также передается зашифрованным в независимости от выбранной опции в окне Аутентификация.
Я буду теперь спать спокойно :)
Вам напомнить о нечистоплотных админах
твиттер, тот вообще взмывали. :)
Бред каккой то ТС, собрали с кучу обрывки поверхностных знаний и выдали теорию всемирного заговора) А после:
И не говори.. Намешал всё и всех в кучу, выдал обрывки собственных фантазий, а потом
Систему то почистите
:)
Если трудно понимается кто о чем говорит-спрашивает, то развидь что ли мои слова про эмулятор и сроки использования МНОЙ п/я разных сервисов. Получиться подумать и сделать правильные выводы, а? :) (Ну если что не понято - ты спроси, я расскажу)
Я буду теперь спать спокойно
Полное спокойствие может дать человеку только страховой полис (с)Остап Бендер:)
какая разнца какая там аутентификация, если и майл и яндекс яшики ломаются под заказ со 99% гарантией?
По поводу брута - сейчас вроде майл ру не брутится особо, раньше у некоторых товарищей были от 700к до полутора ляма аккаунтов. Но кому они сейчас, эти акканты, вообще нужны - не понятно.
Там даже регистрировать аккаунты и подтвреждать их по смс можно было фейково. Их система безопасности - дырка от бублика.
Авторизовываться можно безо всяких md5 - если у вас на компе логируется трафик, то уж наверняка и кейлогер стоит. Провайдеру ваши пароли нафик не упали, так же как и СОРМ-у. Эти вас и без паролей возьмут)
md5 - шанс подбора в типичной БД слитой с типичного сайта - до 70% у профессионала. Ничиная от 30% у новичка.
Рецепт один - если нужна иллюзия безопасности - юзать gmail. Там простенькие пароли конечно сбручивают, но хотя бы "взлом с гарантией" по гуглу не работает.
По поводу привязки к телефону - вообще-то вполне надежная штука. От спецслужб не защищает, но от хкеров с ограниченным бюджетом вполне. При условии, что когда сменят привязанный телефон на ваш упадет смс.
Не у каждого хкера есть бабло зарегистрировать сотового оператора на багамах или друзья-техники у какого-нибудь сотового оператора, чтобы подрубиться. Да и технологию кроме профессионалов технарей мало кто знает.
Такое уже не ради дешевой переписки рядового гражданина делают, и далеко не рядовые хкеры. Перехват смс это дорого
какая разнца какая там аутентификация, если и майл и яндекс яшики ломаются под заказ со 99% гарантией?
Опять какие-то шокирующие новости...
Фантазеры доморощенные налетели.