- 1
- 2
О ХОСПАДЕ В РАМБЛЕРЕ БАГ
https://habrahabr.ru/post/324046/
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
−26
О ХОСПАДЕ В РАМБЛЕРЕ БАГ
https://habrahabr.ru/post/324046/
не поленился, залогинился и въебал минус
Her 16.03.2017 11:54 # +1
guest0 16.03.2017 12:09 # −5
gostinho 16.03.2017 14:11 # −6
solnze_dar 16.03.2017 14:27 # 0
Dummy00001 16.03.2017 16:55 # +1
потом еще через пару лет найдут поля VIA и будут кричать... хез знает что, но что-нибудь секурити-озабоченные всегда кричат.
barop 16.03.2017 16:58 # −6
From [email protected]
Здравствуйте
Для повышения качества обслуживания сообщите пожалуйста Ваш пароль службе поддержки Rambler.
С уважением, служба поддержки
Проверь
1024-- 16.03.2017 19:30 # 0
Мнения разделились на
1. Это святой стандарт! Так завещали боги!
2. Виноват не стандарт, а тот, кто не фильтрует спам.
3. В бумажные письма можно вписать любой адрес отправителя, это фича фич!
4. (тихонько) Мужики, ну может исправим баг, протокол нормальный придумаем?
Из здравых мыслей пожалуй только комментарий о письме от поддержки, сгенерированного на компьютерах третьей стороны из облака.
Особенно удивляют защитники аналогии с бумажной почтой. Но ведь в реальной жизни можно просто нассать в почтовый ящик или поджечь его, а пепел писем развеять по ветру. Где эта прекрасная возможность в электронной почте? Как нассать в почтовый ящик по SMTP?
Кстати, в реальной жизни нассавшего в ящик накажут, а не будут подтрунивать над тупым хозяином, который не снабдил свой ящик смывным бачком.
barop 16.03.2017 19:52 # −14
kaktus 16.03.2017 20:31 # −3
Протокол когда-то предусматривал отправку письма «с чужого компьютера»: в поле From вписывался адрес компьютера, с которого отправлялось письмо (потому что этот адрес жёстко прописывался сисадмином), а имя персоны, которая воспользовалась чужим компьютером, вписывалось в поле Sender. Протокол предполагал честность, ибо в поле Sender можно было вписать хоть ящик президента. Но проверка и не требовалась, ибо, как я уже писал, в военной организации можно было найти шутника и заставить чистить унитаз вилкой.
Времена изменились. Интернет шагнул за пределы Пентагона. Пользователи не раз укололись, но до сих пор грызут этот кактус, ибо Интернет широко разрекламировали, и он вытеснил собой другие сети.
CHayT 16.03.2017 21:15 # +2
Устроил тебе congestion на MTP L2 бэкенде, проверь. Альтернативы были примерно на порядок ужаснее.
barop 16.03.2017 21:17 # −13
barop 16.03.2017 21:55 # −13
barop 16.03.2017 21:57 # −13
guestinh0 16.03.2017 21:58 # −13
kaktus 16.03.2017 20:31 # −2
1. Сервер, принимающий почту от других почтовых служб. Он указан в MX-записи DNS. Не требует аутентификации (ибо регистрировать 100500 почтовых служб нецелесообразно™), но пропускает письма, предназначенные только абонентам данной службы (в данном случае Рамблера). Он может проверять в полученном письме SPF и DKIM и сообщать абоненту, что письмо, возможно, подделано. Но если поле From не противоречит политике SPF, а DKIM отсутствует (или подпись верна, несмотря ни на что), то объявить тревогу не сможет.
2. Сервер для клиентов. Он требует аутентификации и не принимает почту от чужаков, но может отправлять письма кому угодно. Он может подписать письмо DKIM, чтобы получатель мог проверить, не подделаны ли заголовки. И вот тут возможны разные варианты реализации. В самом тупом варианте сервер не проверяет поле From и может даже подписать письмо с подделанным полем From, так что у получателя будет отображаться значок, сигнализирующий о подлинности письма. В «умном» варианте он не пропустит письмо с подделанным From: под каким именем залогинился, от того и отправляй. Так что новый протокол не нужен, всего лишь нужен «умный» сервер, который пропускает только письма с тем значением From, с которым залогинились.
guestinho 16.03.2017 22:15 # −13
guest 17.03.2017 15:48 # +2
guestinho 16.03.2017 20:14 # −13
kaktus 16.03.2017 20:36 # −3
Если в поле From укажешь ящик на том же домене (@rambler.ru, например), то сервер его может даже подписать.
barop 16.03.2017 20:41 # −12
barop 16.03.2017 20:47 # −12
barop 16.03.2017 20:51 # −13
barop 16.03.2017 20:51 # −13
guestinho 16.03.2017 22:17 # −13
guestinho 16.03.2017 22:18 # −13
guestinho 16.03.2017 22:18 # −13
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
Vanished
guestinho 16.03.2017 23:28 # 0
guestinho 16.03.2017 23:57 # 0
ObeseYoungPidor 30.07.2022 17:08 # 0
MPAMOP 30.07.2022 22:29 # 0
ucnaHckuu_CTblD 30.07.2022 22:30 # 0
guest6_uebok 31.07.2022 14:19 # 0
guest 17.03.2017 15:40 # 0
barop 16.03.2017 20:53 # −13
barop 16.03.2017 20:53 # −13
gostinho 16.03.2017 21:42 # −13
guestinho 16.03.2017 21:44 # −13
gostinho 16.03.2017 21:45 # −13
guestinho 16.03.2017 21:48 # −13
gostinho 16.03.2017 21:50 # −13
guestinho 16.03.2017 21:52 # −13