Пользователь всегда выберет удобство. Как его ни ограничивай, как ему ни рассказывай, что нарушение установленных правил грозит серьезными последствиями и для организации, и для него лично.
Перенаправление почты - это стандартная функция, которая часто бывает удобна. Тут скорее вопросы регламентов (в случае закрытых сетей) и здравого смысла (в случае публичных).
А кража сессии выглядит следующим образом (если на пальцах). Когда вы авторизуетесь на каком-то сайте (например на почтовом), то сайт вас "помечает" (есть разные технологии для этого, но не суть), чтобы вам не нужно было вводить логин-пароль каждый раз при перезагрузке страницы. Эта метка может быть разной и держаться довольно долго. На публичных сайтах, например, вы и через неделю зайдете на страницу и все равно будете авторизованы.
Так вот эту "метку" (это может быть скрытый служебный файл, например), теоретически, можно с вашего компьютера украсть, используя всяческие зловреды/трояны или уязвимости системы или сайта. Затем эту метку злоумышленник ставит на свой компьютер и сайт начинает воспринимать его, как залогиненного пользователя.
При этом можно читать почту, поменять настройки, даже написать письмо - т.е. воспользоваться функционалом сайта. Но это все до тех пор, пока сессия не истечет или хозяин не сменит пароль (в этом случае сессия тоже отваливается).
Примерно так. Если, конечно, это был не риторический вопрос )).
Капитан Очевидность как бы намекает, что если сервер закрыт от внешнего мира, то на нём д.б. закрыто перенаправление почты во внешний мир.
Сессии бывают разные - PPP-сессия, VPN-сессия (PPTP, PPPoE, etc), TCP-сессия, HTTP-сессия (основанная на cookies). Я так понимаю, Вы - про последний вариант, ибо только она может не иметь (и обычно не имеет_ привязки к IP-адресу клиентского компьютера (или NAT-сервера, через которого клиентский компьютер выходи наружу).
это в идеальном мире так бывает - "если.., то..". А в вреальном между если и то сидит человеческий фактор, царит хаос (иногда управляемый,иногда нет), вмешивается случай...
не перенапраление. а сборщикext_2805486December 1 2015, 20:21:31 UTC
мэйл.ru, например собирает почту не только с серверов, данные для доступа к которым предоставил пользователь (намерянно), но и все введённые по ошибке (непреднамеренно) учётные данные (ящих на любом другом домене и пароль) всегда пытается использовать
А кража сессии выглядит следующим образом (если на пальцах). Когда вы авторизуетесь на каком-то сайте (например на почтовом), то сайт вас "помечает" (есть разные технологии для этого, но не суть), чтобы вам не нужно было вводить логин-пароль каждый раз при перезагрузке страницы. Эта метка может быть разной и держаться довольно долго. На публичных сайтах, например, вы и через неделю зайдете на страницу и все равно будете авторизованы.
Так вот эту "метку" (это может быть скрытый служебный файл, например), теоретически, можно с вашего компьютера украсть, используя всяческие зловреды/трояны или уязвимости системы или сайта. Затем эту метку злоумышленник ставит на свой компьютер и сайт начинает воспринимать его, как залогиненного пользователя.
При этом можно читать почту, поменять настройки, даже написать письмо - т.е. воспользоваться функционалом сайта. Но это все до тех пор, пока сессия не истечет или хозяин не сменит пароль (в этом случае сессия тоже отваливается).
Примерно так. Если, конечно, это был не риторический вопрос )).
Reply
Сессии бывают разные - PPP-сессия, VPN-сессия (PPTP, PPPoE, etc), TCP-сессия, HTTP-сессия (основанная на cookies). Я так понимаю, Вы - про последний вариант, ибо только она может не иметь (и обычно не имеет_ привязки к IP-адресу клиентского компьютера (или NAT-сервера, через которого клиентский компьютер выходи наружу).
Reply
это в идеальном мире так бывает - "если.., то..". А в вреальном между если и то сидит человеческий фактор, царит хаос (иногда управляемый,иногда нет), вмешивается случай...
Reply
мэйл.ru, например собирает почту не только с серверов, данные для доступа к которым предоставил пользователь (намерянно),
но и все введённые по ошибке (непреднамеренно) учётные данные (ящих на любом другом домене и пароль) всегда пытается использовать
Reply
Leave a comment