The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Skype найдена критическая уязвимость, позволяющая взломать аккаунт, зная только e-mail жертвы

14.11.2012 14:17

Множество информационных агентств со ссылкой на различные блоги сообщили, что в Skype найдена критическая уязвимость, которая позволяет взломать любой аккаунт, зная только e-mail жертвы.

Порядок действия следующий:

1. Злоумышленник заходит на сайт Skype и регистрирует новый Skype ID, указав e-mail жертвы.

2. Злоумышленник подключается к Skype с зарегистрированным Skype ID.

3. На странице для восстановления пароля на сайте Skype вводятся данные аккаунта жертвы.

4. Информация по сбросу и изменению пароля уходит не только на электронный ящик жертвы, но и во все открытые сессии Skype, в том числе данные по изменению пароля оказываются видимы в созданной злоумышленником сессии Skype.

Разработчики Skype были уведомлены о проблеме ещё весной этого года, но проблема с тех пор не была решена. Единственным пока решением остаётся смена e-mail на никому неизвестный. В заявлении компании Microsoft сказано "Мы получили данные о новой проблеме безопасности. В качестве предупредительный меры мы отключили функцию восстановления пароля на время, что позволит более детально исследовать этот вопрос. Мы приносим извинения за неудобства, но безопасность пользователей имеет для нас наивысший приоритет."

  1. Главная ссылка к новости (http://thenextweb.com/microsof...)
Автор новости: Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/35329-skype
Ключевые слова: skype, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (109) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 16:22, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    [убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой][убрано цензурой] ... перехожу на gtalk
     
     
  • 2.24, Аноним (-), 17:33, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > перехожу на gtalk

    Шило на мыло.
    Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта - могут случиться казусы, подобные сабжу.

    В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.

     
     
  • 3.29, rm_ (ok), 17:44, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так или иначе гталк хотя бы с джаббером интероперирует, а значит вы не обязаны как в случае со скайпом сидеть на том же самом дырявом проприетарном поделии что и ваш знакомый, чтобы с ним общаться.
     
     
  • 4.32, Аноним (-), 17:47, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Так или иначе гталк хотя бы с джаббером интероперирует, а значит вы
    > не обязаны как в случае со скайпом сидеть на том же
    > самом дырявом проприетарном поделии что и ваш знакомый, чтобы с ним
    > общаться.

    Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)
    Так что - действительно шило на мыло.

     
     
  • 5.34, Аноним (-), 17:57, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > если индусы из гугла лажанутся :)
    > Так что - действительно шило на мыло

    А чего, обгадился Microsoft, за одно в этом же и Гугла обвиним, а вдруг он тоже? Весёлый подход. толерантный!

     
     
  • 6.36, Аноним (-), 18:23, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А чего, обгадился Microsoft, за одно в этом же и Гугла обвиним, а вдруг он тоже? Весёлый подход. толерантный!

    Гугл таки имеет 100% гарантию от таких проблем?

     
     
  • 7.40, Xasd (ok), 18:50, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    если Майкософт обгадилась -- то вероятность обгаживания Гугла -- повышается хоть на долю процента?
     
     
  • 8.43, Аноним (-), 18:55, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Она и так немаленькая Куда ж ей еще расти ... текст свёрнут, показать
     
     
  • 9.92, Crazy Alex (ok), 19:32, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Пока что эпик фейлов за гуглом не замечено... текст свёрнут, показать
     
     
  • 10.105, dddd (?), 21:45, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Они предпочитают эти вопросы превентивно решать - платят за найденные уязвимости... текст свёрнут, показать
     
     
  • 11.111, Crazy Alex (ok), 22:36, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Подозреваю,что если кто-то нацдёт уязвимость в их сервисе, дающую доступ к аккау... текст свёрнут, показать
     
     
  • 12.130, Аноним (-), 10:55, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можно попробовать устроить тихие переговоры с гуглом, изложить ситуацию, расценк... текст свёрнут, показать
     
     
  • 13.135, Аноним (-), 13:11, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    срок ... текст свёрнут, показать
     
  • 13.145, captain anon (?), 21:54, 17/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    на этой борде сбор профсоюза бетменов ... текст свёрнут, показать
     
  • 10.117, arisu (ok), 07:28, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ага, только эпик вины ToS gmail а точнее, гуглосервисов , например сплошной э... текст свёрнут, показать
     
     
  • 11.121, Аноним (-), 10:21, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну нравится некоторым кактус жрать Они это не читают а потом удивляются когда з... текст свёрнут, показать
     
     
  • 12.137, kurokaze (ok), 14:06, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    вантузятник - они такие... текст свёрнут, показать
     
  • 6.38, 3draven (?), 18:44, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А мыло гугловское ломали уже. Гугл толк там же лежит. В моем собственном ящике даже появилось незаметно странное, в настройках появился ящик, на который наверное неделю пересылалась вся приходящая мне почта. Слалось куда то в Китай. Вот такие пироги.
     
     
  • 7.41, Xasd (ok), 18:53, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А мыло гугловское ломали уже. Гугл толк там же лежит. В моем
    > собственном ящике даже появилось незаметно странное, в настройках появился ящик, на
    > который наверное неделю пересылалась вся приходящая мне почта. Слалось куда то
    > в Китай. Вот такие пироги.

    ага, в и этом случае прямо на экране рабочего стола Gmail -- написанно "ВНИМАНИЕ! У ВАС ПЕРЕАДРЕСАЦИЯ"...

    ...так-что незаметно подойти к твоему компу (когда ты отвернулся, покурить, в туалет) и вписать туда китайский email -- не так уж и безпроблематично :)

     
     
  • 8.47, Аноним (-), 18:56, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если делать это через дыру в гмейле, все становится гораздо проще ... текст свёрнут, показать
     
     
  • 9.49, Xasd (ok), 18:57, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    какую дыру которая была 10 лет назад во времена когда даже Ajax толком не был... текст свёрнут, показать
     
     
  • 10.53, Аноним (-), 18:59, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Через какую-нибудь Скайпохомячки тоже до недавнего времени думали, что абсолютн... текст свёрнут, показать
     
     
  • 11.57, Xasd (ok), 19:02, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    ну тык мы тут и говорим про то что Майкрософт обгадолось - когда Google обгади... текст свёрнут, показать
     
     
  • 12.63, Аноним (-), 19:04, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –7 +/
    gt оверквотинг удален А я что-то не слышал, чтобы Линус хоть раз публично заяв... текст свёрнут, показать
     
     
  • 13.94, Crazy Alex (ok), 19:36, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как раз приличнфе люди или конторы фейлы признают и толком говорят, что сделано ... текст свёрнут, показать
     
     
  • 14.119, анонимус (??), 09:35, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    приличные почитайте что пишут при каждом обновлении linux-stable где там посып... текст свёрнут, показать
     
     
  • 15.120, arisu (ok), 09:55, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    то ли дело m надо ребятам учиться уже 171 тут у нас баг в дисковой подсисте... текст свёрнут, показать
     
     
  • 16.133, uuser (ok), 11:57, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Живая демонстрация п п 2 Подкинуть труднопроверяемые сведения 3 Расширить кру... текст свёрнут, показать
     
  • 14.127, Харитон (?), 10:39, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    например kernel org куда уж полинусовее ... текст свёрнут, показать
     
  • 13.138, kurokaze (ok), 14:08, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    так он же не балмер, странно вести себя не будет... текст свёрнут, показать
     
  • 12.65, Аноним (-), 19:05, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ага Предлагаешь беспокоиться о безопасности только после того, как все худшее у... текст свёрнут, показать
     
     
  • 13.83, Xasd (ok), 19:21, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    предлагаешь заранее обосрать компанию которая совсем ни при чём и как это помож... текст свёрнут, показать
     
  • 6.51, Аноним (-), 18:57, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А чего, обгадился Microsoft, за одно в этом же и Гугла обвиним,
    > а вдруг он тоже? Весёлый подход. толерантный!

    Все корпорасты одинаковые. Потому что работают на одинаковых индусах.

     
     
  • 7.78, Xasd (ok), 19:14, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    если ты считаешь что политика руководителей отделов -- НЕ влияет на работу сотрудников отделов (на работу исполнителей -- разработчиков ПО) -- то вероятнее всего ты просто ещё не успел поработать в плохой компании.

    говнистое (коррумпированное, ..., ленивое) руководство ставит такое количество палок в колёса исполнителям (разработчикам) -- что большое количество глупых ошибок -- неизбежный результат этого.

    # P.S.: а может быть ты просто сам как раз работаешь руководителем в подобной (плохой) компании?

     
  • 7.96, Crazy Alex (ok), 19:38, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Кхх :-) И корпорации разные, и индусы разные (вопрос только в стоимости), и от стиля упраления и контроля куча всего зависит - в том числе с индусами-быдлокодерами. Которые после третьего возврата кода с ревью вполне понимают, что от них хотят.
     
  • 5.45, Xasd (ok), 18:55, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)

    нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже существующим email? :-)


     
     
  • 6.48, Аноним (-), 18:57, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
    > существующим email? :-)

    А кто сказал, что у гугла сценарий будет повторяться 1:1?

     
     
  • 7.62, Xasd (ok), 19:04, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
    >> существующим email? :-)
    > А кто сказал, что у гугла сценарий будет повторяться 1:1?

    это сказал (намекнул) тот кто упомянул в этой теме про возможные уязвимости gtalk

     
     
  • 8.66, Аноним (-), 19:06, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Перечитал все обсуждение, ничего подобного нет Можно цитату, если не затруднит ... текст свёрнут, показать
     
     
  • 9.68, Xasd (ok), 19:08, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Автор новости -- Информация по сбросу и изменению пароля уходит не только на эл... текст свёрнут, показать
     
     
  • 10.74, Аноним (-), 19:13, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Аноним не уточнял, как именно могут лажануться индусы из гугла, так что мимо Уч... текст свёрнут, показать
     
     
  • 11.80, Xasd (ok), 19:16, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да Аноним не уточнял надеюсь Аноним хотябы прочитал что мы тут вообще обсуждае... текст свёрнут, показать
     
  • 6.60, Аноним (-), 19:03, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >> Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)
    > нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
    > существующим email? :-)

    Школота, ты знаки препинания ставить разучился?

     
     
  • 7.64, Xasd (ok), 19:04, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> Что не отменяет возможности угона аккаунтов у пользователей gtalk, если индусы из гугла лажанутся :)
    >> нука расскажи мне как в Gmail можно создать ВТОРОЙ Gmail-аккаунт с уже
    >> существующим email? :-)
    > Школота, ты знаки препинания ставить разучился?

    разучился. ещё вопросы? по теме то ведь сказать нечего?

    (ой, и не надо оправданий что не хочешь говорить со школьниками. я тут не стану доказывать свой возраст и статус. так как мне наплевать что ты думаешь о моём возрасте и статусе :))

     
  • 3.39, Аноним (-), 18:49, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> перехожу на gtalk
    > Шило на мыло.
    > Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
    > могут случиться казусы, подобные сабжу.
    > В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
    > пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.

    +500.

     
     
  • 4.58, Аноним (-), 19:02, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> перехожу на gtalk
    >> Шило на мыло.
    >> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
    >> могут случиться казусы, подобные сабжу.
    >> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
    >> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.
    > +500.

    Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь ЛИЧНО ТЫ?

     
     
  • 5.61, Аноним (-), 19:03, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь ЛИЧНО ТЫ?

    Будешь так сильно передергивать - оторвешь нафиг. Потом девушки тебя любить не будут :)

     
     
  • 6.72, Аноним (-), 19:11, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь ЛИЧНО ТЫ?
    > Будешь так сильно передергивать - оторвешь нафиг. Потом девушки тебя любить не
    > будут :)

    Окстись, чувачило - у меня двое взрослых детей, мне уже накекать на твои сексуальные проблемы давно. Смекаешь? И ты не ответил на МОЙ вопрос. Так что - кто тут передергивает?

     
     
  • 7.79, Аноним (-), 19:16, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Окстись, чувачило - у меня двое взрослых детей,

    Тебе уже есть 35 лет (при взрослых детях это весьма вероятно) - ты можешь стерилизоваться вполне законно, не прибегая к столь варварским методам ;)

    > И ты не ответил на МОЙ вопрос.

    Не вижу смысла поддерживать оффтопичную дискуссию.

    > Так что - кто тут передергивает?

    Ты :)

     
  • 7.91, оппа (?), 19:32, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ваш оппонент имел в виду, что когда есть куча серверов и у каждого свой метод восстановления пароля, то общей дырки применимой для всех сразу не существует.

    Ваш КО.

     
     
  • 8.97, Xasd (ok), 19:39, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лучше так написать Ваш оппонент имел в виду, что когда есть куча серверов и ... текст свёрнут, показать
     
  • 5.106, Аноним (-), 21:47, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> перехожу на gtalk
    >>> Шило на мыло.
    >>> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
    >>> могут случиться казусы, подобные сабжу.
    >>> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
    >>> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.
    >> +500.
    > Скажи, пицотый, и какой же СВОЙ механизм, НЕУЯЗВИМЫЙ для подобных атак, предложишь
    > ЛИЧНО ТЫ?

    Таки почему я должен что-то предлагать?

     
  • 3.71, Аноним (-), 19:10, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> перехожу на gtalk
    > Шило на мыло.
    > Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
    > могут случиться казусы, подобные сабжу.
    > В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
    > пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.

    "Вы можете приобрести любой автомобиль, при условии, что это будет черный Форд Т". Ну-ка, поведай нам, убогим - какие-такие продвинутые методы паролей существуют, кроме сброса линка на верифицированный мэйл?

     
     
  • 4.81, Xasd (ok), 19:18, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>> перехожу на gtalk
    >> Шило на мыло.
    >> Гугл, конечно, не мелкософт, но когда одна компания контролирует разработку продукта -
    >> могут случиться казусы, подобные сабжу.
    >> В классическом jabber, например, каждый сервер может реализовать свой механизм восстановления
    >> пароля, поэтому дыра в ней не будет иметь всеобъемлющий характер.
    > "Вы можете приобрести любой автомобиль, при условии, что это будет черный Форд
    > Т". Ну-ка, поведай нам, убогим - какие-такие продвинутые методы паролей существуют,
    > кроме сброса линка на верифицированный мэйл?

    +1

    и при этом слово "верифицированный" -- надо прямо жирным было написать!

     
     
  • 5.95, оппа (?), 19:37, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Звонок админу: "забыл пароль, восстанови плиз". Ваш КО.
     
     
  • 6.98, Xasd (ok), 19:40, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Звонок админу: "забыл пароль, восстанови плиз". Ваш КО.

    админ -- "без проблем дружище! высылаю ссылку на твой верифицированный email!"

    double fail facepalm взломщика :)

    # P.S.: а в нормальных системах -- название email -- это уже и есть логин к системе.

     
     
  • 7.116, DeltaKilo (?), 02:41, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Звонок админу: "забыл пароль, восстанови плиз". Ваш КО.
    > админ -- "без проблем дружище! высылаю ссылку на твой верифицированный email!"
    > double fail facepalm взломщика :)
    > # P.S.: а в нормальных системах -- название email -- это уже
    > и есть логин к системе.

    В гугле вообще-то верификация по номеру телефона(добровольно-принудительно ввели), либо по Google Authentificator, либо по листку с одноразовыми паролями. Так что по-крайней мере такой или аналогичный сценарий идет лесом.

     

  • 1.2, kotonimus (?), 16:23, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Пусть теперь говорят о преимуществах проприетарности, ога.
    Знаем мы этих корпоративных разработчиков ПО, заказывали-с.
     
     
  • 2.7, мазай (?), 16:43, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    там бОльшая часть уязвимости в механизме сброса пароля через сайт.
     
     
  • 3.18, Аноним (-), 17:28, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > там бОльшая часть уязвимости в механизме сброса пароля через сайт.

    ...реализованным компанией майкрософт после покупки скайпа...

     
     
  • 4.46, Аноним (-), 18:55, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В СПО данный механизм реализуется как-то иначе?
     
     
  • 5.59, Аноним (-), 19:02, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В СПО данный механизм реализуется как-то иначе?

    Да он практически везде работает как-то иначе. В частности, ссылка на восстановление пароля приходит _только_ на указанное в аккаунте мыло.
    Если бы в скайпе так делали - никакой дыры не было бы.

     
     
  • 6.73, Аноним (-), 19:13, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> В СПО данный механизм реализуется как-то иначе?
    > Да он практически везде работает как-то иначе. В частности, ссылка на восстановление
    > пароля приходит _только_ на указанное в аккаунте мыло.
    > Если бы в скайпе так делали - никакой дыры не было бы.

    А SMTP/POP3 - это, конечно, пипец какой защищенный протокол. Неуязвимый, практически. Именно потому гогносоциалки так настаивают на предоставлении им мобильных нумеров для аутентификации. Не правда ли?

     
     
  • 7.100, Xasd (ok), 19:47, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А SMTP/POP3 - это, конечно, пипец какой защищенный протокол. Неуязвимый, практически...

    непонял это сарказм или нет?

    в случае если сарказм -- то где там дыра (в SMTP/IMAP) , не подскажете?

    связь с серварами шифруется по TLS/SSL-протоколу, а сами письма передаются по SMTP даже с применением DKIM-цифровой-подписи отправителя.

    мы какбы не в каменном веке.

     
  • 7.107, Аноним (-), 21:48, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>> В СПО данный механизм реализуется как-то иначе?
    >> Да он практически везде работает как-то иначе. В частности, ссылка на восстановление
    >> пароля приходит _только_ на указанное в аккаунте мыло.
    >> Если бы в скайпе так делали - никакой дыры не было бы.
    > А SMTP/POP3 - это, конечно, пипец какой защищенный протокол. Неуязвимый, практически. Именно
    > потому гогносоциалки так настаивают на предоставлении им мобильных нумеров для аутентификации.
    > Не правда ли?

    Гогносоциалкам на вас плевать, а вот номерок пригодится.

     
     
  • 8.123, Аноним (-), 10:33, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Нуачо, можно в перспективе туда годно спам с рекламой рассылать, например Прода... текст свёрнут, показать
     
  • 7.122, Firefoxic (ok), 10:28, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то привязка номера мобилы к аккаунту в социалке делается не для аутентификации.

    По крайней мере пока — пока Никифоров не допилил таки в РФ пристрел дюбель-патронами одного-единственного номера мобилы к одному-единственному паспорту РФ (естественно под видом увеличения конкурентности ОпМоС'ов между собой и повышения удобства пользователей их услуг, но и [в качестве бонус-фичи спецслужбам] ради доп-контроля над гражд^W электоратом).

     
  • 2.136, dq0s4y71 (??), 13:56, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да. В СПО ошибок не бывает из-за правильной лицензии ;)
     
     
  • 3.139, kurokaze (ok), 14:13, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну да. В СПО ошибок не бывает из-за правильной лицензии ;)

    вантузные троли такие толстые

     

  • 1.4, Аноним (-), 16:26, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    so sloooow!
    Закрыли уже.
     
  • 1.5, bliss (?), 16:38, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Шо закрыли? Закрыли возможность использовать фичу восстановления. И отмалчиваются. А лента.ру оказалась оперативнее, они уже давно об этом сообщили :)
     
     
  • 2.19, Аноним (-), 17:29, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > оказалась оперативнее, они уже давно об этом сообщили :)

    На хабрашвабре тоже сообщили задолго до того как сие "починили" путем окончательного гильотинирования :)

     
  • 2.37, Аноним (-), 18:41, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    "Закрыли возможность использовать фичу восстановления", тем самым прикрыли лазейку (в прошлый раз не хорошо выразился). Ну а вообще, да, долго дырка была открытой.
     

  • 1.6, Crazy Alex (ok), 16:42, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну и ну. Проворонить такое... Это вам не переполнения буфера.
     
     
  • 2.21, Аноним (-), 17:30, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и ну. Проворонить такое... Это вам не переполнения буфера.

    Минздрав предупреждал что иная логическая ошибка - покруче десятка переполнений буфера. Наивные чукоццкие юноши не верили. Ну да, пи...нг аккаунта - более убедительный аргумент :)

     
     
  • 3.42, Crazy Alex (ok), 18:55, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да это понятно, но тут же совсем на виду лежи. У них QA вообще нет, что ли? Боюсь думать, сколько аккаунтов поуводили через это
     

  • 1.16, ваноним (?), 17:23, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    судя по тому, что пишут на хабре, у них еще и служба поддержки укуренная. проприетарщина, в худшем смысле этого слова
     
     
  • 2.108, Аноним (-), 21:49, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > судя по тому, что пишут на хабре, у них еще и служба
    > поддержки укуренная. проприетарщина, в худшем смысле этого слова

    У майкрософта-то? Ха. У этих и снега зимой не выпросишь.

     
     
  • 3.125, Аноним (-), 10:36, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > У майкрософта-то? Ха. У этих и снега зимой не выпросишь.

    Ну почему же? Прошлогодний, зимой, эскимосам - может даже и продадут. Если сильно повезет то даже "со скидкой".

     

  • 1.17, Аноним (-), 17:27, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Компания Майкрософт реализовала новую фичу: теперь кто угодно может удобно угнать аккаунт :). Все для удобства пользователя! :). И да, виноват таки майкрософт который от большого ума стал дублировать токен на аккаунт. Левый, побочный аккаунт. Просто тупая логическая ошибка: индусы не подумали что оказывается какой-то козел может юзануть уже юзаный мыльник. Это шедеврально.
     
     
  • 2.30, Аноним (-), 17:46, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Они подумали. При создании второго акка на тот же мыльник выводится предупреждение. Но дальше все работает нормально.
    Так что это штатная дыра.
     
     
  • 3.126, Аноним (-), 10:39, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Так что это штатная дыра.

    Это не "штатная дыра". Это полный раздолбизм индусни, которые обделены элементарной логикой и не поняли что их "нововведение" для "удобства" лихо ведет к дыре сказочного размера. Пилять, логику таких фич должен проектировать тот кто четко понимает что и нафига он делает и какие будут последствия. А все остальные индусы вообще туда соваться не должны.

     
     
  • 4.140, kurokaze (ok), 14:15, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это не "штатная дыра". Это полный раздолбизм индусни, которые обделены элементарной логикой
    > и не поняли что их "нововведение" для "удобства" лихо ведет к
    > дыре сказочного размера. Пилять, логику таких фич должен проектировать тот кто
    > четко понимает что и нафига он делает и какие будут последствия.
    > А все остальные индусы вообще туда соваться не должны.

    Там может не индусня, а русня - много русских в некрософте работает.

     
  • 2.44, Аноним (-), 18:55, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Завязка нескольких ресурсов (широко пропагандируемый "единый вход", который, слава богу, полностью сделать не удалось ни одному идиоту) на один аккаунт - бредовая по сути идея. Угон одного аккаунта означает потерю возможности работать со всеми ресурсами. При этом дыра может быть в любом из них. Это по сути еще хуже, чем один и тот же пароль на всех ресурсах, как любят делать лузеры.

    AD, да и вообще любой LDAP - бред из той же серии, но в меньших масштабах.

     
     
  • 3.54, Аноним (-), 18:59, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Завязка нескольких ресурсов (широко пропагандируемый "единый вход", который, слава богу,
    > полностью сделать не удалось ни одному идиоту) на один аккаунт -
    > бредовая по сути идея. Угон одного аккаунта означает потерю возможности работать
    > со всеми ресурсами. При этом дыра может быть в любом из
    > них. Это по сути еще хуже, чем один и тот же
    > пароль на всех ресурсах, как любят делать лузеры.
    > AD, да и вообще любой LDAP - бред из той же серии,
    > но в меньших масштабах.

    Тут есть одно маленькое НО. LDAP сделали таким дебилы, никогда не слышавшие о такой вещи, как Керберос и шифрование, тащемта. Вообще в LDAP есть фишка, позволяющая достукиваться к нему по шифрованному соединению. Но, всем же, как всегда, покуй.

     
  • 3.88, Crazy Alex (ok), 19:30, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    С другой стороны - защитить один аккаунт легче. Та же двухфакторная авторизация, дополнительные проверки при "опасных" действиях - и будет счастье. А вот если дополнительный одноразовый пароль придётся на что попало вводить - пользователь взвоет.

    Ну и очевидная мера - резервный аккаунт, который можно использовать для восстановления основного и который больше ни дл чего не используется. Лежит себе бумажка "е-мейл + пароль" в сейфе, да и всё. Понятно, что из "основного" аккаунта о настройках "резервного" узнать должнобыть невозможно.

    Единый вход плох только некоторыми (решаемым при желании) проблемами с прайваси, а вот разумно безопасным его как раз сделать не особо сложно, для 95% случаев сгодится.

     
     
  • 4.128, Аноним (-), 10:48, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Wrong Существует over 9000 методов убедить или грамотно подставить админа с эти... большой текст свёрнут, показать
     

  • 1.20, Аноним (-), 17:29, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Разработчики Skype были уведомлены о проблеме ещё весной этого года, но проблема с тех пор не была решена.
    > безопасность пользователей имеет для нас наивысший приоритет.

    Честность мелкософта не может не радовать :D

     
     
  • 2.50, Аноним (-), 18:57, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Нормально все. Честность - это выталкивание пользователей в сторону Ubuntu. Все правильно делают.
     

  • 1.75, an. (?), 19:14, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну угнали аккаунт - чего панику сеять - угоните обратно! :)
     
     
  • 2.82, Аноним (-), 19:18, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну угнали аккаунт - чего панику сеять - угоните обратно! :)

    Мелкософт уже прикрыл дырку. Так что мошенники выигрывают у честных юзеров 1:0 :)

     
  • 2.103, ваноним (?), 20:25, 14/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    угонщики, как истиные подлецы, меняют основной почтовый адрес. угадаете на какой - угоните обратно
     

  • 1.77, mihalych (ok), 19:14, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот что случается, когда за работу берутся индусы некрософта!
     
  • 1.84, epic_fail (?), 19:21, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вопрос в том, как долго в приватных кругах ходила эта уязвимость..
     
  • 1.101, ILYA INDIGO (ok), 19:48, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ёмаё....
    /me Пошёл менять e-mail
     
     
  • 2.129, Аноним (-), 10:51, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > /me Пошёл менять e-mail

    Лучше бы менять мозги, хоть это и сложновато.

     

  • 1.102, Аноним (-), 20:09, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Администратор Oracle, прошедший все уровни сертификации, может убить человека SQL-запросом, зная его IP.
     
  • 1.104, paulus (ok), 21:30, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интернет - великая сила! Даже M$ нагнули публикацией инструкций :) Не даром все правительства хотят ограничить свободу людей в инете...

    Skype временно закрыл возможность восстановления паролей http://www.xakep.ru/post/59627/default.asp

     
  • 1.110, dimqua (ok), 22:16, 14/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Как всегда, большинство пользователей не думает о своей приватности, а когда их петух, наконец, в одно место клюнет, начинают удивляться: "Как же так?". Это так смешно, что даже грустно.
     
     
  • 2.118, arisu (ok), 07:42, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как всегда, большинство пользователей не думает о своей приватности, а когда их
    > петух, наконец, в одно место клюнет, начинают удивляться: «Как же так?».
    > Это так смешно, что даже грустно.

    и что *в этом* случае неправильно делал пользователь? мыло своё показывал? а ничего, что это часто нормально и удобно? и что средний человек в здравом уме вряд ли будет предполагать, что сервис *настолько* идиотичен?

    если вебкамеру в твоём телефоне *нечаянно вдруг* можно попросить отослать твою фотографию на другой телефон, ты виноват в том, что не разобрал полностью прошивку? а там кроме просто прошивки аппарата есть ещё другие хитрые чипы. виноват в том, что не спилил их и не разобрался полностью, как работают? не думаешь ты о своей приватности, ой, не думаешь…

     
     
  • 3.131, dimqua (ok), 10:56, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > и что *в этом* случае неправильно делал пользователь?

    Использовал Skype, ваш K.O.

    > мыло своё показывал? а ничего, что это часто нормально и удобно? и что средний человек в здравом уме вряд ли будет предполагать, что сервис *настолько* идиотичен?

    Уже один тот факт, что сервисом владеет MS, позволяет предположить, что сервис *настолько* идиотичен. И поэтому, если уж и давать ему свой e-mail, то уж точно не основной и известный другим людям (то есть, например, можно дать временный).

    > если вебкамеру в твоём телефоне *нечаянно вдруг* можно попросить отослать твою фотографию на другой телефон, ты виноват в том, что не разобрал полностью прошивку?

    Если бы были доступны телефоны со свободной прошивкой веб-камеры, а я бы всё равно использовал бы с проприетарной, то да, я был бы виноват.

    Сейчас доступны свободные альтернативы Skype, но большинство пользователей на них не переходят, продолжая использовать проприетарные сервисы, вроде Skype. Поэтому, я считаю, что пользователи в подобных случаях сами виноваты.

    >а там кроме просто прошивки аппарата есть ещё другие хитрые чипы. виноват в том, что не спилил их и не разобрался полностью, как работают? не думаешь ты о своей приватности, ой, не думаешь…

    От пользователей не требуется разбираться в том, как работают программы. От них всего то требуется делать выбор с учётом на приватность, и тогда подобных случаев будет гораздо меньше. Именно поэтому они и виноваты в подобном, потому что безответственны к своим личным данным, а не потому что они не разрабатывают ПО.

     
     
  • 4.143, arisu (ok), 19:05, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    если бы у бабушки был Ў, она была бы дедушкой. такие дела.
     
  • 4.146, captain anon (?), 22:09, 17/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Сейчас доступны свободные альтернативы Skype

    только вот связь как из джопы. даже если использовать свободные клиенты;)

    inb4: у меня всё работает

    ага слышали. знаем.

     

  • 1.113, Аноним (-), 00:30, 15/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Страница восстановления пароля нормально открывается
    https://login.skype.com/account/password-reset-request
    Они уже всё исправили?
     
     
  • 2.114, Xasd (ok), 02:02, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Используйте этот код, чтобы сменить свой пароль на нашем защищенном веб-сайте." ...

    хахаха! "защищенном"!! АААаАааааАаааа это заговор, они пытаются меня УБИТЬ от смеха!!

     
  • 2.144, Frank (ok), 15:19, 16/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Они уже всё исправили?

    Может быть. По крайней мере отослав себе на ящик восстановление, я не получил ничего в самом скайпе.

     

  • 1.115, бедный буратино (ok), 02:26, 15/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Ждём новости "мы перестали выпускать Windows, потому что безопасность пользователей имеет для нас наивысший приоритет".

    им самим не смешно?

     
  • 1.132, Maris (?), 11:54, 15/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я наверное чего-то не так понимаю...

    Как-то не совсем совместимо это:

    "Разработчики Skype были уведомлены о проблеме ещё весной этого года"

    с этим:

    "безопасность пользователей имеет для нас наивысший приоритет".

     
     
  • 2.134, Чучучу (?), 12:25, 15/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Весной исправлять было некому - играл гормон. Летом индусы уехали на родину праздновать последнее лето года и просыпание Ктулху. Осенью просто лениво работать. И вот зимой, когда всё равно как дурак слоняешься по офису, кто-то ОТ СКУКИ залез в багобазу и откопал бородатый баг. И тут понеслось!..... :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру