Vlákno názorů k článku Je náročné se dostat do cizí webmailové schránky? od Marek Blahuš - Chtěl bych jen upozornit, že téměř tím samým...

Chtěl bych jen upozornit, že téměř tím samým jsem se zabýval i já už před nějakými třemi lety. Vyšly o tom pod názvem "České freemaily nejsou bezpečné" články na několika českých serverech, Lupa to tehdy uvedla alespoň v rubrice readme.txt:

http://www.lupa.cz/clanek.php3?show=2023

Bližší popis toho, na co jsem tehdy přišel, najdete na:

http://unclehacker.mysteria.cz/

Když si to přečtete, zjistíte, že používané triky jsou až podezřele podobné těm, které použil o tři roky později celkem úspěšně i autor tohoto článku. Já jsem tehdy u svého popisu jména freemailů uváděl a doslova mne dostalo, když jsem zjistil, že bych i teď už z jen z popisu bezpečnostních chyb v tomto článku byl schopný celkem bezpečně jednotlivé nejmenované freemaily identifikovat, protože se všechny chovají téměř přesně stejně nebezpečně jako onehdy. Uznejte, není to smutné?

Tímto příspěvkem samozřejmě nechci autorův počin nijak shazovat, naopak chválím některé nové nástroje průniku (např. nápadité vypnutí si kontroly IP přes cookie), které ve svém řešení představil. Třeba zrovna k té kontrole IP bych ale třeba chtěl i něco poradit: Když už máme možnost spouštět na napadaném počítači JavaScript, není problém si někde ve skrytém iframe stáhnout stránky, které mne zajímají (pro začátek např. seznam mailů v inboxu), a jejich zdrojáky si zaslat třeba přes nějaký ten parametr načítaného obrázku. Možností je spousta...

Ja som sa tym zacal zaoberat celkom nahodou: pri jednom projekte znamej poslali mail znenia:

"..blabla.. a to spravis takymto prikazom:
prikaz <input file> <output file> "

A na stranke webmailu bol miesto textu <input file> normalny input box :-) A to bol pritom obycajny text/plain mail.

Este dalsi rozdiel je, ze pri tych obrazkoch nebolo treba ziadny javascript, ale postup je zhruba podobny. Ja som pouzival hlavne Perl a netcat na parsovanie hlaviciek a vytvorenie jednouceloveho "web serveru", ktory dokaze akurat poslat obrazok a zaznamenat referer.

Dalej ma napadli rozne finty: ulozit do polozky "date" html/javascript kod, alebo niekde, kde je vysoko nepravdepodobne, ze by to skript zobrazujuci maily kontroloval. Na poslanie takeho mailu by bolo treba spravit specialny skript ktory posiela priamo cez SMTP. Zaujimave by bolo, ktory "date" by pouzil...

Ale celkovo sa cudujem, ze sa to za vyse 2 roky nezmenilo...