Войти в аккаунт
Хотите наслаждаться полной версией, а также получить неограниченный доступ ко всем материалам?

Яндекс: простой перехват логинов и паролей

Яндекс: простой перехват логинов и паролей
Система авторизации Яндекса подвержена MITM (Man-In-The-Middle)-атаке: можно заставить Яндекс передавать логины и пароли в открытом виде, что влечет за собой угрозу их перехвата. Для тех, кто не в курсе, что такое MITM (цитата из Википедии):

    Атака «человек посередине» (англ. Man in the middle, MitM-атака) — термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.

Применительно к сетям, возможность перехватывать и в отдельных случаях изменять передаваемый трафик. Это грозит раскрытием логинов и паролей к сайтам. Для защиты от этого применяется SSL.

MITM на Яндексе

При входе на Яндекс логин и пароль честно передаются по SSL-протоколу. Но взглянем на часть исходного кода страницы авторизации с описание формы:

    <form name="MainLogin" action="http://passport.yandex.ru/passport?mode=auth" method="post" onSubmit="return Validate(this)">
    <input type="hidden" name="idkey" value = "09J1227657094S_n12UHU4">



Изначально в форме указано, что данные должны передаваться по нешифровнному каналу:

    action="http://passport.yandex.ru/passport?mode=auth"

Передавать данные по SSL заставляет скрипт forcehttps.js, который у всех форм меняет в свойстве action «http» на «https»:

    // Force HTTPS javascript
    //
    // $Id: forcehttps.js,v 1.3 2006-12-12 14:05:01 shurukhin Exp $

    (function(){
    var frm = document.forms.MainLogin;
    if(frm) {
     frm.action=frm.action.replace(/^http:/i, 'https:')
     frm.action=frm.action.replace(/^\\//,'https://'+document.domain+'/')
    }
    })();



Если же этот скрипт не выполнится, то логин и пароль будут пересылаться в открытом виде.

Вывод

Если у атакующего есть возможность подменить или заблокировать скачивание forcehttps.js, то логин и пароль передадутся на сервер в открытую. Например, админ в офисе просто заблокировал скачивание forcehttps.js на прокси-сервере (офис ходит в инет через него), то он легко может перехватить логин и пароль от аккаунта на яндексе, принадлежащие сотрудникам офиса.
Источник: www.securitylab.ru
{{ rating.votes_against }} {{ rating.rating }} {{ rating.votes_for }}

Комментировать

осталось 1800 символов
Свернуть комментарии

Все комментарии (4)

Baka

комментирует материал 27.11.2008 #

Спасибо за предупреждение. Хотя... нефиг с работы на Яндексе делать, если по-хорошему.

user avatar
Kiata

отвечает Baka на комментарий 27.11.2008 #

яндекс - не такой уж и авторитет..можно пользоваться многим другим

user avatar
Froggy13

отвечает Kiata на комментарий 27.11.2008 #

Особенно тем, у кого деньги на Яндексе для интернет-покупок.

user avatar
×
Заявите о себе всем пользователям Макспарка!

Заказав эту услугу, Вас смогут все увидеть в блоке "Макспаркеры рекомендуют" - тем самым Вы быстро найдете новых друзей, единомышленников, читателей, партнеров.

Оплата данного размещения производится при помощи Ставок. Каждая купленная ставка позволяет на 1 час разместить рекламу в специальном блоке в правой колонке. В блок попадают три объявления с наибольшим количеством неизрасходованных ставок. По истечении периода в 1 час показа объявления, у него списывается 1 ставка.

Сейчас для мгновенного попадания в этот блок нужно купить 1 ставку.

Цена 10.00 MP
Цена 40.00 MP
Цена 70.00 MP
Цена 120.00 MP
Оплата

К оплате 10.00 MP. У вас на счете 0 MP. Пополнить счет

Войти как пользователь
email
{{ err }}
Password
{{ err }}
captcha
{{ err }}
Обычная pегистрация

Зарегистрированы в Newsland или Maxpark? Войти

email
{{ errors.email_error }}
password
{{ errors.password_error }}
password
{{ errors.confirm_password_error }}
{{ errors.first_name_error }}
{{ errors.last_name_error }}
{{ errors.sex_error }}
{{ errors.birth_date_error }}
{{ errors.agree_to_terms_error }}
Восстановление пароля
email
{{ errors.email }}
Восстановление пароля
Выбор аккаунта

Указанные регистрационные данные повторяются на сайтах Newsland.com и Maxpark.com

Перейти на мобильную версию newsland