Алексей Рерих
На известном российском ресурсе во вторник опубликованы результаты исследования популярных почтовых систем, проведенного . Это – некоммерческий проект, предназначенный для свободной публикации читателями сведений об ошибках в ПО и исправлениях к ним. Результаты исследования озаглавлены “. “.
Отчет посвящен безопасности нескольких самых популярных среди российских пользователей почтовых сервисов, с которыми можно работать через веб-интерфейс, в том числе , ““, , “” и других.
Как заявлено в пресс-релизе RSN Forum, ни одна из рассмотренных служб не была безопасной при стандартных настройках и использовании браузеров MS Internet Explorer, Netscape Navigator и Opera, предоставляя злоумышленнику возможность, “слегка помучившись”, отобрать аккаунт пользователя. Как утверждают авторы отчета, для безопасной работы с почтовыми серверами нужно, как минимум, отключить поддержку сценариев Javascript, но иногда не спасает и это.
В статье, посвященной результатам исследования, подробно рассматриваются все ошибки, допущенные администраторами русскоязычных почтовых служб, в том числе подробно рассматриваются “дыры”. При этом указывается, что в большинстве своем эти ошибки не являются специфически “рунетными” и свойственны большинству почтовых серверов при работе через веб-интерфейс.
Вот некоторые резюме по поводу безопасности различных “почтовиков”.
- При использовании почтового сервиса “” веб-интерфейсом вообще лучше не пользоваться до его переработки и смены политики безопасности. Сервер быстрый и удобный, ничто не мешает пользоваться стандартными методами работы с почтой.
- Долгие издевательства над привели к существенному росту уровня безопасности и пересмотру методов программной реализации. На сегодня ошибки в основном подстерегают в веб-интерфейсе, но возможность работы без языков сценариев позволяет свести этот риск к минимуму, если настроить браузеры или перед работой отключить Javascript (в Opera и Netscape). Сервер Mail.ru авторы отчета признают наиболее удачным выбором для желающих иметь безопасный почтовый ящик.
- Почтовый сервис “” появился недавно и фактически ограничен веб-интерфейсом. Но при дополнительной настойке браузера и самой почты этот сервис не опаснее других.
- По поводу же сказано следующее. Свидетельством небрежного подхода разработчиков к веб-интерфейсу стало хранение данных в cookies: при включенной опции “запомнить пароль” последний сохраняется в виде “plain text” бeз какой-либо шифровки вместе с логином! В общем же и целом – идеи были заложены хорошие, подвели авторов сервиса только неаккуратность и стремление сделать работу службы максимально удобной.
В своем пресс-релизе авторы отчета указывают, что “все производители услуг извещены об имеющихся ошибках”, однако пока никаких сообщений об их устранении не поступало.
Даются также многочисленные советы пользователям веб-интерфейсов почтовых служб: в частности, рекомендуется не открывать сразу ссылки, полученные с письмом, так как это чревато кражей секретного вопроса и ответа, или же отключать исполнение Javascript.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Рунетчики стали больше пользоваться мылом – 12.02.01
ПРОМТ переводит веб-страницы и электронные письма – 07.02.01
Мобильная коммерция обеспечит безопасность конфиденциальных данных – 13.12.00
Почтовая программа Eudora убережет от опрометчивых посланий – 10.10.00
Создана почтовая программа по технологии Napster – 22.09.00
Тюремные расценки на электронную почту: 20 копеек за строчку – 07.09.00