Comments | securityblogru: LJ и SMTP TLS

dadv in securityblogru

LJ и SMTP TLS

Feb 25, 2014 01:04

Обратил внимание, что ЖЖ не использует TLS в письмах, которые посылает юзерам. Включая письма с кодом для сброса пароля. Это нормально в 2014? Такие баг-репорты где-то принимаются в ЖЖ ( Read more... )

аутентификация, криптография, encryption, пароли

Leave a comment

Back to all threads

boltik February 25 2014, 17:11:01 UTC

А были прецеденты когда аккаунт ломали путем перехвата незашифрованного письма с кодом?

dadv February 25 2014, 17:14:01 UTC

/me thinks, что все хакерские "взломы" аккаунтов "оппозиционеров" это тупо использование СОРМ2 и слив перехваченных кодов "хакеру" людьми из органов.

boltik February 25 2014, 17:37:25 UTC

Получение письма с кодом восстановления, который не запрашивался, вызовет подозрения. СОРМ система пассивная и предотвратить доставку письма не может - факт взлома быстро бы обнаружился.

dadv February 25 2014, 17:45:27 UTC

Можно подумать, там стояла цель скрыть факт взлома.

dadv February 25 2014, 17:46:12 UTC

А скрыть вектор атаки в этом случае вообще не проблема. Выбрать время, когда объект обычно спит, оперативно использовать код, подтереть сообщение с кодом.

Back to all threads

Leave a comment