1. Куча / Говнокод #22598

    −26

    1. 1
    2. 2
    О ХОСПАДЕ В РАМБЛЕРЕ БАГ
    https://habrahabr.ru/post/324046/

    не поленился, залогинился и въебал минус

    Запостил: cykablyad, 16 Марта 2017

    Комментарии (41) RSS

    • накурятся какойто smali и лезут в хедеры SMTP протокола
      Ответить
    • показать все, что скрытоНе поленился, залогинился и въебал тебе минус.
      Ответить
    • Не поленился, залогинился и отметил это дело.
      Ответить
    • еще через пару лет найдут BCC поле и будут кричать "секурити информэйшн лик!!!"

      потом еще через пару лет найдут поля VIA и будут кричать... хез знает что, но что-нибудь секурити-озабоченные всегда кричат.
      Ответить
    • показать все, что скрытоПослал тебе вот такое письмо

      From [email protected]

      Здравствуйте
      Для повышения качества обслуживания сообщите пожалуйста Ваш пароль службе поддержки Rambler.

      С уважением, служба поддержки


      Проверь
      Ответить
    • Почему на х..е в комментариях так яростно защищают этот баг?

      Мнения разделились на
      1. Это святой стандарт! Так завещали боги!
      2. Виноват не стандарт, а тот, кто не фильтрует спам.
      3. В бумажные письма можно вписать любой адрес отправителя, это фича фич!
      4. (тихонько) Мужики, ну может исправим баг, протокол нормальный придумаем?

      Из здравых мыслей пожалуй только комментарий о письме от поддержки, сгенерированного на компьютерах третьей стороны из облака.

      Особенно удивляют защитники аналогии с бумажной почтой. Но ведь в реальной жизни можно просто нассать в почтовый ящик или поджечь его, а пепел писем развеять по ветру. Где эта прекрасная возможность в электронной почте? Как нассать в почтовый ящик по SMTP?
      Кстати, в реальной жизни нассавшего в ящик накажут, а не будут подтрунивать над тупым хозяином, который не снабдил свой ящик смывным бачком.
      Ответить
      • показать все, что скрытоБамбук покури.
        Ответить
      • Исторически было так: Тырнет был только в Пентагоне, IP-адреса были статическими и привязанными к рабочему месту. Об аутентификации тогда не задумывались, ибо всегда можно было вычислить, с какого компьютера было отправлено сообщение, найти и наказать хулигана.

        Протокол когда-то предусматривал отправку письма «с чужого компьютера»: в поле From вписывался адрес компьютера, с которого отправлялось письмо (потому что этот адрес жёстко прописывался сисадмином), а имя персоны, которая воспользовалась чужим компьютером, вписывалось в поле Sender. Протокол предполагал честность, ибо в поле Sender можно было вписать хоть ящик президента. Но проверка и не требовалась, ибо, как я уже писал, в военной организации можно было найти шутника и заставить чистить унитаз вилкой.

        Времена изменились. Интернет шагнул за пределы Пентагона. Пользователи не раз укололись, но до сих пор грызут этот кактус, ибо Интернет широко разрекламировали, и он вытеснил собой другие сети.
        Ответить
      • А теперь расскажу о современном положении дел. У всех почтовых сервисов (и Рамблер не исключение) два SMTP-сервера:

        1. Сервер, принимающий почту от других почтовых служб. Он указан в MX-записи DNS. Не требует аутентификации (ибо регистрировать 100500 почтовых служб нецелесообразно™), но пропускает письма, предназначенные только абонентам данной службы (в данном случае Рамблера). Он может проверять в полученном письме SPF и DKIM и сообщать абоненту, что письмо, возможно, подделано. Но если поле From не противоречит политике SPF, а DKIM отсутствует (или подпись верна, несмотря ни на что), то объявить тревогу не сможет.

        2. Сервер для клиентов. Он требует аутентификации и не принимает почту от чужаков, но может отправлять письма кому угодно. Он может подписать письмо DKIM, чтобы получатель мог проверить, не подделаны ли заголовки. И вот тут возможны разные варианты реализации. В самом тупом варианте сервер не проверяет поле From и может даже подписать письмо с подделанным полем From, так что у получателя будет отображаться значок, сигнализирующий о подлинности письма. В «умном» варианте он не пропустит письмо с подделанным From: под каким именем залогинился, от того и отправляй. Так что новый протокол не нужен, всего лишь нужен «умный» сервер, который пропускает только письма с тем значением From, с которым залогинились.
        Ответить
    • показать все, что скрытоDKIM подпись в этом письме будет?
      Ответить
    • показать все, что скрытоVanished
      Ответить
    • показать все, что скрытоVanished
      Ответить
    • показать все, что скрытоЯ тоже когда впервые с ПХП отправил себе письмо удивился, что можно указывать отправителем кого угодно
      Ответить
      • показать все, что скрытоVanished
        Ответить
        • показать все, что скрытоЭто ты о чём?
          Ответить
          • показать все, что скрытоVanished
            Ответить
            • показать все, что скрытоЕщё раз, не успел прочитать
              Ответить
              • показать все, что скрытоДавай я тебя научу: этот долбоёб не осилил повторно редактировать комменты.
                __________________$$__$$
                _________________$$$_$$$
                _________________$$$_$$
                __________________$$$$$$$$$$
                _________________$=_====__$$$$
                ________________$$$__$$$_____$_$$
                ________________$**$$***$_____$$_$$
                ________________$**$$***$_______$__$
                ______________$$$$$$$$_____$_____$__$
                ________$$$$$$_____________$______$__$
                ____$$$$$_____$$$$_$________$____$$___$
                ___$$$_$_____$______$_______$___$$_____$
                ___$$$$_$___$__$$$$_$___$___$$$$$_______$
                ___$$$$$_$_$__$$$$$_$______$$$__$$$_____$
                _____$$$__$$__$$$$________$$$______$$____$
                ______$____$____________$$$__________$___$
                _______$$____________$$$_$____________$___$
                _________$$_______$$$__$$______________$__$
                ___________$$$$$$$$$$$$_____$___________$__$
                _________________$$__________$__________$__$
                ________________$_____________$________$___$
                ______________$$_____________$_______$$_____$
                _____________$_______________$______$_______$
                ____________$________________$____$_________$
                __________$$______________$$$____$__________$
                ________$$_______________$________$_________$
                _______$_________________$$$$__$__$_________$
                ______$____________________$__$__$__________$
                _____$______________________$$_$$___________$

                Ответить

    Добавить комментарий