1. Куча / Говнокод #22598

    −26

    1. 1
    2. 2
    О ХОСПАДЕ В РАМБЛЕРЕ БАГ
https://habrahabr.ru/post/324046/

    не поленился, залогинился и въебал минус

    Запостил: cykablyad, 16 Марта 2017

    Комментарии (41) RSS

    • ava Her 16.03.2017 11:54 # +1

      накурятся какойто smali и лезут в хедеры SMTP протокола
      Ответить

    • ava guest0 16.03.2017 12:09 # −5

      показать все, что скрытоНе поленился, залогинился и въебал тебе минус.
      Ответить

    • ava solnze_dar 16.03.2017 14:27 # 0

      Не поленился, залогинился и отметил это дело.
      Ответить

    • ava Dummy00001 16.03.2017 16:55 # +1

      еще через пару лет найдут BCC поле и будут кричать "секурити информэйшн лик!!!"

      потом еще через пару лет найдут поля VIA и будут кричать... хез знает что, но что-нибудь секурити-озабоченные всегда кричат.
      Ответить

    • ava barop 16.03.2017 16:58 # −6

      показать все, что скрытоПослал тебе вот такое письмо

      From [email protected]

      Здравствуйте
      Для повышения качества обслуживания сообщите пожалуйста Ваш пароль службе поддержки Rambler.

      С уважением, служба поддержки


      Проверь
      Ответить

    • ava 1024-- 16.03.2017 19:30 # 0

      Почему на х..е в комментариях так яростно защищают этот баг?

      Мнения разделились на
      1. Это святой стандарт! Так завещали боги!
      2. Виноват не стандарт, а тот, кто не фильтрует спам.
      3. В бумажные письма можно вписать любой адрес отправителя, это фича фич!
      4. (тихонько) Мужики, ну может исправим баг, протокол нормальный придумаем?

      Из здравых мыслей пожалуй только комментарий о письме от поддержки, сгенерированного на компьютерах третьей стороны из облака.

      Особенно удивляют защитники аналогии с бумажной почтой. Но ведь в реальной жизни можно просто нассать в почтовый ящик или поджечь его, а пепел писем развеять по ветру. Где эта прекрасная возможность в электронной почте? Как нассать в почтовый ящик по SMTP?
      Кстати, в реальной жизни нассавшего в ящик накажут, а не будут подтрунивать над тупым хозяином, который не снабдил свой ящик смывным бачком.
      Ответить

      • ava barop 16.03.2017 19:52 # −14

        показать все, что скрытоБамбук покури.
        Ответить

      • ava kaktus 16.03.2017 20:31 # −3

        Исторически было так: Тырнет был только в Пентагоне, IP-адреса были статическими и привязанными к рабочему месту. Об аутентификации тогда не задумывались, ибо всегда можно было вычислить, с какого компьютера было отправлено сообщение, найти и наказать хулигана.

        Протокол когда-то предусматривал отправку письма «с чужого компьютера»: в поле From вписывался адрес компьютера, с которого отправлялось письмо (потому что этот адрес жёстко прописывался сисадмином), а имя персоны, которая воспользовалась чужим компьютером, вписывалось в поле Sender. Протокол предполагал честность, ибо в поле Sender можно было вписать хоть ящик президента. Но проверка и не требовалась, ибо, как я уже писал, в военной организации можно было найти шутника и заставить чистить унитаз вилкой.

        Времена изменились. Интернет шагнул за пределы Пентагона. Пользователи не раз укололись, но до сих пор грызут этот кактус, ибо Интернет широко разрекламировали, и он вытеснил собой другие сети.
        Ответить

      • ava kaktus 16.03.2017 20:31 # −2

        А теперь расскажу о современном положении дел. У всех почтовых сервисов (и Рамблер не исключение) два SMTP-сервера:

        1. Сервер, принимающий почту от других почтовых служб. Он указан в MX-записи DNS. Не требует аутентификации (ибо регистрировать 100500 почтовых служб нецелесообразно™), но пропускает письма, предназначенные только абонентам данной службы (в данном случае Рамблера). Он может проверять в полученном письме SPF и DKIM и сообщать абоненту, что письмо, возможно, подделано. Но если поле From не противоречит политике SPF, а DKIM отсутствует (или подпись верна, несмотря ни на что), то объявить тревогу не сможет.

        2. Сервер для клиентов. Он требует аутентификации и не принимает почту от чужаков, но может отправлять письма кому угодно. Он может подписать письмо DKIM, чтобы получатель мог проверить, не подделаны ли заголовки. И вот тут возможны разные варианты реализации. В самом тупом варианте сервер не проверяет поле From и может даже подписать письмо с подделанным полем From, так что у получателя будет отображаться значок, сигнализирующий о подлинности письма. В «умном» варианте он не пропустит письмо с подделанным From: под каким именем залогинился, от того и отправляй. Так что новый протокол не нужен, всего лишь нужен «умный» сервер, который пропускает только письма с тем значением From, с которым залогинились.
        Ответить

    • ava guestinho 16.03.2017 20:14 # −13

      показать все, что скрытоDKIM подпись в этом письме будет?
      Ответить

    • ava barop 16.03.2017 20:53 # −13

      показать все, что скрытоVanished
      Ответить

    • ava barop 16.03.2017 20:53 # −13

      показать все, что скрытоVanished
      Ответить

    • ava gostinho 16.03.2017 21:42 # −13

      показать все, что скрытоЯ тоже когда впервые с ПХП отправил себе письмо удивился, что можно указывать отправителем кого угодно
      Ответить

      • ava guestinho 16.03.2017 21:44 # −13

        показать все, что скрытоVanished
        Ответить

        • ava gostinho 16.03.2017 21:45 # −13

          показать все, что скрытоЭто ты о чём?
          Ответить

          • ava guestinho 16.03.2017 21:48 # −13

            показать все, что скрытоVanished
            Ответить

            • ava gostinho 16.03.2017 21:50 # −13

              показать все, что скрытоЕщё раз, не успел прочитать
              Ответить

              • ava guestinho 16.03.2017 21:52 # −13

                показать все, что скрытоДавай я тебя научу: этот долбоёб не осилил повторно редактировать комменты. 
                __________________$$__$$
_________________$$$_$$$
_________________$$$_$$
__________________$$$$$$$$$$
_________________$=_====__$$$$
________________$$$__$$$_____$_$$
________________$**$$***$_____$$_$$
________________$**$$***$_______$__$
______________$$$$$$$$_____$_____$__$
________$$$$$$_____________$______$__$
____$$$$$_____$$$$_$________$____$$___$
___$$$_$_____$______$_______$___$$_____$
___$$$$_$___$__$$$$_$___$___$$$$$_______$
___$$$$$_$_$__$$$$$_$______$$$__$$$_____$
_____$$$__$$__$$$$________$$$______$$____$
______$____$____________$$$__________$___$
_______$$____________$$$_$____________$___$
_________$$_______$$$__$$______________$__$
___________$$$$$$$$$$$$_____$___________$__$
_________________$$__________$__________$__$
________________$_____________$________$___$
______________$$_____________$_______$$_____$
_____________$_______________$______$_______$
____________$________________$____$_________$
__________$$______________$$$____$__________$
________$$_______________$________$_________$
_______$_________________$$$$__$__$_________$
______$____________________$__$__$__________$
_____$______________________$$_$$___________$

                Ответить

    Добавить комментарий