Нетоскоп / Новости / HackZone: все почтовые веб-интерфейсы

		Нетоскоп/Новости/13.02.2001 http://www.netoscope.ru/news/2001/02/13/1526.html HackZone: все почтовые веб-интерфейсы - с дырочками Алексей Рерих 13.02.2001 17:07

На известном российском ресурсе HackZone во вторник опубликованы результаты исследования популярных почтовых систем, проведенного Russian Security Newsline (RSN ) Forum. Это - некоммерческий проект, предназначенный для свободной публикации читателями сведений об ошибках в ПО и исправлениях к ним. Результаты исследования озаглавлены "Субъективная оценка российских удаленных почтовых сервисов. Тестирование на ошибки в веб-интерфейсе".

Отчет посвящен безопасности нескольких самых популярных среди российских пользователей почтовых сервисов, с которыми можно работать через веб-интерфейс, в том числе Mail.ru, "Rambler.Почта", Hotbox.ru, "Яndex.Почта" и других.

Как заявлено в пресс-релизе RSN Forum, ни одна из рассмотренных служб не была безопасной при стандартных настройках и использовании браузеров MS Internet Explorer, Netscape Navigator и Opera, предоставляя злоумышленнику возможность, "слегка помучившись", отобрать аккаунт пользователя. Как утверждают авторы отчета, для безопасной работы с почтовыми серверами нужно, как минимум, отключить поддержку сценариев Javascript, но иногда не спасает и это.

В статье, посвященной результатам исследования, подробно рассматриваются все ошибки, допущенные администраторами русскоязычных почтовых служб, в том числе подробно рассматриваются "дыры". При этом указывается, что в большинстве своем эти ошибки не являются специфически "рунетными" и свойственны большинству почтовых серверов при работе через веб-интерфейс.

Вот некоторые резюме по поводу безопасности различных "почтовиков".

При использовании почтового сервиса "Яndex.Почта" веб-интерфейсом вообще лучше не пользоваться до его переработки и смены политики безопасности. Сервер быстрый и удобный, ничто не мешает пользоваться стандартными методами работы с почтой.
Долгие издевательства над Mail.ru привели к существенному росту уровня безопасности и пересмотру методов программной реализации. На сегодня ошибки в основном подстерегают в веб-интерфейсе, но возможность работы без языков сценариев позволяет свести этот риск к минимуму, если настроить браузеры или перед работой отключить Javascript (в Opera и Netscape). Сервер Mail.ru авторы отчета признают наиболее удачным выбором для желающих иметь безопасный почтовый ящик.
Почтовый сервис "Rambler.Почта" появился недавно и фактически ограничен веб-интерфейсом. Но при дополнительной настойке браузера и самой почты этот сервис не опаснее других.
По поводу же Hotbox.ru сказано следующее. Свидетельством небрежного подхода разработчиков к веб-интерфейсу стало хранение данных в cookies: при включенной опции "запомнить пароль" последний сохраняется в виде "plain text" бeз какой-либо шифровки вместе с логином! В общем же и целом - идеи были заложены хорошие, подвели авторов сервиса только неаккуратность и стремление сделать работу службы максимально удобной.

В своем пресс-релизе авторы отчета указывают, что "все производители услуг извещены об имеющихся ошибках", однако пока никаких сообщений об их устранении не поступало.

Даются также многочисленные советы пользователям веб-интерфейсов почтовых служб: в частности, рекомендуется не открывать сразу ссылки, полученные с письмом, так как это чревато кражей секретного вопроса и ответа, или же отключать исполнение Javascript.