На известном российском ресурсе во вторник опубликованы результаты исследования популярных почтовых систем, проведенного . Это — некоммерческий проект, предназначенный для свободной публикации читателями сведений об ошибках в ПО и исправлениях к ним. Результаты исследования озаглавлены «. «.
Отчет посвящен безопасности нескольких самых популярных среди российских пользователей почтовых сервисов, с которыми можно работать через веб-интерфейс, в том числе , ««, , «» и других.
Как заявлено в пресс-релизе RSN Forum, ни одна из рассмотренных служб не была безопасной при стандартных настройках и использовании браузеров MS Internet Explorer, Netscape Navigator и Opera, предоставляя злоумышленнику возможность, «слегка помучившись», отобрать аккаунт пользователя. Как утверждают авторы отчета, для безопасной работы с почтовыми серверами нужно, как минимум, отключить поддержку сценариев Javascript, но иногда не спасает и это.
В статье, посвященной результатам исследования, подробно рассматриваются все ошибки, допущенные администраторами русскоязычных почтовых служб, в том числе подробно рассматриваются «дыры». При этом указывается, что в большинстве своем эти ошибки не являются специфически «рунетными» и свойственны большинству почтовых серверов при работе через веб-интерфейс.
Вот некоторые резюме по поводу безопасности различных «почтовиков».
- При использовании почтового сервиса «» веб-интерфейсом вообще лучше не пользоваться до его переработки и смены политики безопасности. Сервер быстрый и удобный, ничто не мешает пользоваться стандартными методами работы с почтой.
- Долгие издевательства над привели к существенному росту уровня безопасности и пересмотру методов программной реализации. На сегодня ошибки в основном подстерегают в веб-интерфейсе, но возможность работы без языков сценариев позволяет свести этот риск к минимуму, если настроить браузеры или перед работой отключить Javascript (в Opera и Netscape). Сервер Mail.ru авторы отчета признают наиболее удачным выбором для желающих иметь безопасный почтовый ящик.
- Почтовый сервис «» появился недавно и фактически ограничен веб-интерфейсом. Но при дополнительной настойке браузера и самой почты этот сервис не опаснее других.
- По поводу же сказано следующее. Свидетельством небрежного подхода разработчиков к веб-интерфейсу стало хранение данных в cookies: при включенной опции «запомнить пароль» последний сохраняется в виде «plain text» бeз какой-либо шифровки вместе с логином! В общем же и целом — идеи были заложены хорошие, подвели авторов сервиса только неаккуратность и стремление сделать работу службы максимально удобной.
В своем пресс-релизе авторы отчета указывают, что «все производители услуг извещены об имеющихся ошибках», однако пока никаких сообщений об их устранении не поступало.
Даются также многочисленные советы пользователям веб-интерфейсов почтовых служб: в частности, рекомендуется не открывать сразу ссылки, полученные с письмом, так как это чревато кражей секретного вопроса и ответа, или же отключать исполнение Javascript.
 |
|
| ССЫЛКИ ПО ТЕМЕ | |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Рунетчики стали больше пользоваться мылом — 12.02.01
ПРОМТ переводит веб-страницы и электронные письма — 07.02.01
Мобильная коммерция обеспечит безопасность конфиденциальных данных — 13.12.00
Почтовая программа Eudora убережет от опрометчивых посланий — 10.10.00
Создана почтовая программа по технологии Napster — 22.09.00
Тюремные расценки на электронную почту: 20 копеек за строчку — 07.09.00