Перейти до змісту

Електронна пошта ukr.net


Рекомендовані повідомлення

Не знаю, чи у тому розділі відкриваю тему, якщо щось не так, то нехай модератори перенесуть.

Отже суть.

Маю скриньку на @ukr.net, досить часто користуюся. Декілька днів назад виявив "фішку".

Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку.

Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту. Браузери паролі не зберігають, відмітку "чужий комп'ютер" ставлю.

Пишу на тех. підтримку з викладенням проблеми, отримую відповідь, що все дійсно так, і зроблено це для зручності авторизації. Зручно, не сперечаюсь, але виникають сумніви щодо надійності та конфіденційності скриньки при такій "фішці" з авторизацією. Чи у мене паранойя?

Посилання на коментар
Поділитись на інші сайти

це все фігня, я колись заходжу на пошту, пароль в мене завжди збереженій, а мені відкривається зовсім не моя пошта, а пошта якоїсь зовсім незнайомої мені людини. За мій пк в той день ніхто не сідав, 100 відсотків. От такі приколи від укр нет)

Посилання на коментар
Поділитись на інші сайти

один із критеріїв надійності - не використовуйте паролів, які складаються із поширених комбінацій цифр, літер, абревіатур, слів у будь-якій розкладці. Використовуйте поєднання цифр та літер + різний регістр та дозволені символи. Це виключить можливість підібрати пароль методом брутфорса.

Посилання на коментар
Поділитись на інші сайти

Чи у мене паранойя?

ukrnet просто виправляє помилки користувача тому, що...

Пароль не повинен бути менше за 6 символів та не більше 16 символів. Пароль залежить від реєстру, тобто "UkrNet", "ukrnet" і "UKRNET" — різні паролі. Літери кирилицею та спецсимволи неприпустимі!

Посилання на коментар
Поділитись на інші сайти

Є багато інших додаткових методів захисту від брутфорса ...

Залежить від технології Укр.нет.

Якщо там зберігаються при створенні пароля одразу хеші у всіх розкладках ... непереймайтеся впринципі єдине що ви врачаете це 2 спроби хакера якщо він отримав Ваш пароль хук.кей методом :). При брутфорсі втрати мікроскопічні для цього "спрощення" сервісу .

Якщо пароль там зберігається в явному вигляді і порівнюється сдвигом символів по розкладці то звідти тре тікати :) (не думаю що таке можливо для укр.нет адже сервіс на 1000+ користувачів не може дозволити собі такий рівень)

Посилання на коментар
Поділитись на інші сайти

Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку. Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту.

PuntoSwitcher часом не встановлений? :_08:

Посилання на коментар
Поділитись на інші сайти

PuntoSwitcher часом не встановлений? :_08:

Цікаве питання.Так щоб спеціально, то не ставив, в "установка-удаление програм" немає, а ярличок на панелі задач вчора хз чого вискочив.

Посилання на коментар
Поділитись на інші сайти

Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається...

Посилання на коментар
Поділитись на інші сайти

PuntoSwitcher часом не встановлений? :_08:

те ж саме хотів спитати. Зачасту, зборки вінди аля Звєрь, мають в собі купу нікому не потрібного хламу, у вигляді "додаткового безкоштовного програмного забезпечення".

І тулять туди кончений ПунтоСвтчер. Ненавиджу цю приблуду..

Посилання на коментар
Поділитись на інші сайти

...Тепер же у яку б розкладку клавіатуру не переводив,

пароль все рівно дає можливість зайти в пошту.

Попробовал. Не пустило.

post-961-0-86630500-1405491925_thumb.jpg

...Пишу на тех. підтримку з викладенням проблеми,

отримую відповідь, що все дійсно так,

і зроблено це для зручності авторизації...

Это уже интересно, так как выпадает из здравого смысла.

Можно посмотреть переписку?

Посилання на коментар
Поділитись на інші сайти

qwerty forever

чуть добавлю - 123qwerty
Посилання на коментар
Поділитись на інші сайти

а якщо 123Qwerty то все - точно ніхто не взламає

Посилання на коментар
Поділитись на інші сайти

На мобільних пристроях немає українських буковок на кнопках в англійській розкладці. Попробуй набери слово "Пароль" по памяті на англ. клаві. ))

Посилання на коментар
Поділитись на інші сайти

То шо був банальний пунто свічер???

Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається...

Що мішае зберігати 2,3,4 значення хеш-функції в базі і звіряти почергово :)

Посилання на коментар
Поділитись на інші сайти

для чого вам ці всі складні матерії?

я трохи вище давав цитату з укрнета з вимогами до пароля: пароль не може містити кирилиці!

а тому, алгоритм простий: якщо укрнет помічає в отриманому паролі кирилицю, він автоматично робить табличну заміну символів і тоді звіряє результат зі своєю базою

ніяких 100500 хешів йому не потрібно

з точки зору безпеки це може бути навіть корисно, бо "обманює" клавіатурні шпіони

Посилання на коментар
Поділитись на інші сайти

В Кирилиці букв більше :)

Ну а загалом для ТС, зрозуміло що втрат у безпеці при такому алгоритмі практично немає?... Якщо так кажіть нехай тему закривають :)

Посилання на коментар
Поділитись на інші сайти

Питання також по укр нету. Чомусь ніяк невиходить налаштувати укр нет на аутлук офіса. Хто стикався з даною проблемою?

Посилання на коментар
Поділитись на інші сайти

Так пробуєте і невиходить ?(ну бажано уточнення, які помилки і тд.):

http://wiki.ukr.net/.../OutlookExpress

(особоисто я думаю тре звернути увагу на пункт "ШАГ 6" десь мабуть там щось не так)

Посилання на коментар
Поділитись на інші сайти

В Кирилиці букв більше

софт у нас, як правило, весь буржуйський, а їм зайвий геморой з кирилицею не потрібен

ось, до речі, кусок коду укрнета, про який я говорив


function transliterate(entry) {
var ru = "йцукенгшщзхъїёфыівапролджэєячсмитьбюЙЦУКЕНГШЩЗХЪЇЁФЫІВАПРОЛДЖЭЄЯЧСМИТЬБЮ№";
var en = "qwertyuiop[[[[assdfghjkl;[[zxcvbnm,.QWERTYUIOP[[[[ASSDFGHJKL;[[ZXCVBNM,.#";
var code = "";
var i=0;
for(i = 0; i < ru.length; i++) {
code = code+"entry = entry.replace(/"+ru.charAt(i)+"/g, '"+en.charAt(i)+"');\n";
}
return eval(code);
}

Посилання на коментар
Поділитись на інші сайти

Да ну я поняв і з прошлого поста про що йдеться :)

P.S. Фунція названа Транслітерація, - насправді такою неявляється :). Переіменуте в

function PuntoSwicherVidUkrNet(entry)

:0153:

Посилання на коментар
Поділитись на інші сайти

...Тепер же у яку б розкладку клавіатуру не переводив,

пароль все рівно дає можливість зайти в пошту.

Попробовал. Не пустило.

post-961-0-86630500-1405491925_thumb.jpg

...Пишу на тех. підтримку з викладенням проблеми,

отримую відповідь, що все дійсно так,

і зроблено це для зручності авторизації...

Это уже интересно, так как выпадает из здравого смысла.

Можно посмотреть переписку?

Ось, копіюю з листів (прінтскрін не працює)

Дякую за оперативну відповідь.

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

--- Оригінальне повідомлення ---

Від кого: Andrey Neshcheret <[email protected]>

Дата: 15 липня 2014, 21:17:16

Доброго дня.

Це зроблено для зручності авторизації у поштову скриньку.

15.07.2014 21:13, ...... пишет:

Доброго дня, шановні розроники.

Прошу пояснити, що саме відбувається у ел. пошті @ukr.net

Приклад: пароль від ел. поштової скриньки
телевизор4
в англійській розкладці клавіатури.

Яку б розкладку клавіатури не вибирав, EN , RU чи UK , все рівно це дає змогу зайти в ел. пошту.

Зміна пароля результату не дає, все відбувається так само.

--

Andrey Neshcheret

Support Department

ISP UkrNet

Після зміни пароля перший раз не пускає, на другий залюбки.

Посилання на коментар
Поділитись на інші сайти

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

Так все ж написали вже: сумніви безпідставні.

Якщо вірити фунції роглядається 73 символи кирилиці...(відповідно 73 значення латиниці) + цифри(10)

Орієнтовно у Вас варіантів символів 83 якщо Ваш пароль 10 символьний, то щоб перебрати банально всі варіанти тре перепробувати 83 в десятій степені(83^10)(якщо математику незабув) ймовірність вгадати 1 до 83^10. Якщо перебирати ще й кирилицю там також маємо туж ймовірність 1 до 83^10. Ітого торібно 2 рази перебирати кирицю і латинцю, пи цьому ймовірність знайти 2 до 2*83^10 тобто нічого нзмінюється!

--- Оригінальне повідомлення ---

Від кого: Andrey Neshcheret <[email protected]>

Аж до розробників добралися... Допекло їх мабуть

Посилання на коментар
Поділитись на інші сайти

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

Так все ж написали вже: сумніви безпідставні.

Ну і добре, що безпідставні. До речі, у випадку з введенням логіна все так, як має бути Всім дякую за роз"яснення.

Можна закривати тему.

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



×
×
  • Створити...