Дмитрий Радищев (dibr) wrote,
Дмитрий Радищев
dibr

яндекс врёт

http://habrahabr.ru/company/yandex/blog/236007/
"Эти пароли не могли быть получены в результате пассивного сетевого сниффинга: в Яндексе достаточно давно все ситуации, в которых передается пароль, защищены TLS. Например, в Почте для протоколов POP3, IMAP и SMTP используется STARTTLS или варианты протоколов со включенным TLS"

Совершенно чудесно ходит в открытом виде (разумеется, забил звёздочками):
Ну и кто они после этого?
Напомню - гугель и майлру уже давно *принудительно* перевели всех с POP3 на POP3s, там внутри то же самое, но сниффером снаружи уже не снимешь.
UPD: насчёт майлру был неправ (точнее, неточен), см. в комментариях. А вот гугель - таки принудительно.

< 8-09-14 15:46:57: "+OK POP Ya! na@8 wkV6I4Y1BqMv\x0d\x0a"
> 8-09-14 15:46:57: "CAPA\x0d\x0a"
< 8-09-14 15:46:57: "+OK Capability list follows\x0d\x0a"
< 8-09-14 15:46:57: "STLS\x0d\x0a"
< 8-09-14 15:46:57: "TOP\x0d\x0a"
< 8-09-14 15:46:57: "USER\x0d\x0a"
< 8-09-14 15:46:57: "LOGIN-DELAY 60\x0d\x0a"
< 8-09-14 15:46:57: "PIPELINING\x0d\x0a"
< 8-09-14 15:46:57: "EXPIRE NEVER\x0d\x0a"
< 8-09-14 15:46:57: "UIDL\x0d\x0a"
< 8-09-14 15:46:57: "RESP-CODE\x0d\x0a"
< 8-09-14 15:46:57: "AUTH-RESP-CODE\x0d\x0a"
< 8-09-14 15:46:57: "IMPLEMENTATION Yandex\x0d\x0a"
< 8-09-14 15:46:57: ".\x0d\x0a"
> 8-09-14 15:47:04: "USER dibr@yandex.ru\x0d\x0a"
< 8-09-14 15:47:04: "+OK password, please.\x0d\x0a"
> 8-09-14 15:47:04: "PASS ***\x0d\x0a"
< 8-09-14 15:47:04: "+OK 88 3355211\x0d\x0a"

UPD: что-то я усложняю на ровном месте, это же вообще без извратов вроде перехвата трафика проверяется.
Тупо ломанулся телнетом на pop.yandex.ru:110, ввёл USER dibr@yandex.ru / PASS пароль - и привет, "+OK", можно читать письма.
И где обещанный TLS?
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 37 comments