// вы читаете...

Новости

О безопасности почты на основе WWW-Интерфейса



Здравствуй!

Ты когда-нибудь задумывался о безопасности почты на основе WWW-Интерфейса? Скорее всего нет.
А если и да, то скорее всего на масли тебя натолкнул какой-нибудь журналист, сказавший что хакеры
(а по его словам это гении компьютерного мира, и вообще при одном их виде надо
падать и бояться :]) взломали xxxmail.xxx. Но ты не обратил на это сообщение особого внимания, а зря.
По статистике большинство юзверей, которые пользуются мылом через свои любимые браузеры очень
ленивы и рано или поздно им надоедает вводить пасс и логин. Для таких людей создатели почт предлагают
использовать всякие фишки по автоматическому заполнению паролей и логинов. Возникает интересный
вопрос: как сервер узнаёт кто пришел и чем заполнить форму? В большинстве случаев ответ — Java+Cookies!
Так как эта технология поддерживается большинством браузеров (таких как Internet Explorer, Opera, Нетшкаф and so on …).
Возникает проблема: как достать эти кукисы? Это сделать ОЧЕНЬ просто :). (намного сложнее заставить юзера
посмотреть attachment :[ ). Давай рассмотрим это на примере какой-либо службы… Да чего долго ходить
можно посмотреть и на mail.xakep.ru :). Зарегистрировавшись, получаем «ясчик» (и обращаем внимание на
radio-button (переключатель) с надписью «Свой компьютер(запомнить имя и пароль)»). Ну что? Пусть запомнит
пасс и логин (допустим что мы часто здесь бываем и оооооочень ленивы). При последующей загрузке страницы мы
видим введенные данные и нам остаётся только входить и радоваться жизни. Интересен код страницы
аутентификации. Этот кусок отвечает за то самое сохранение пасса:

<SCRIPT LANGUAGE=»JavaScript»>
<!—
———————————
function setCookie(name, value) {
var expire = «0, 01-01-2100 00:00:00 GMT»
document.cookie = name + «=» + escape(value) + «; expires=» + expire;
}
———————————
function Save()
{ var sqr = 0;
// if (document.logon.sequrity[1].checked) {sqr=1;}
// if (document.logon.sequrity[2].checked) {sqr=2;}
var name = document.logon.username.value;
var psw = document.logon.password.value;
var domain = document.logon.domain.value;

Страницы: 1 2 3

Обсуждене

Отзывов нет на «О безопасности почты на основе WWW-Интерфейса»

Ваш отзыв

Рубрики