На российском ресурсе HackZone были опубликованы результаты исследования популярных почтовых систем (www.hackzone.ru/articles/testmail.html), проведенного Russian Security Newsline (RSN) Forum (rsn.hackzone.ru).

Отчет посвящен безопасности нескольких самых популярных среди российских пользователей почтовых сервисов, с которыми можно работать через web-интерфейс, в том числе "Mail.ru", "Rambler.Почта", "Hotbox.ru", "Яndex.Почта" и др.

В пресс-релизе RSN Forum было заявлено, что ни одна из рассмотренных служб не была безопасной при стандартных настройках и использовании браузеров MS Internet Explorer, Netscape Navigator и Opera, предоставляя злоумышленнику возможность, "недолго мучаясь", отобрать экаунт пользователя. Для безопасной работы с почтовыми серверами нужно, как минимум, отключить поддержку сценариев Javascript, хотя и это не всегда спасает.

В статье, посвященной результатам исследования, подробно рассматриваются все ошибки, допущенные администраторами русскоязычных почтовых служб, в том числе подробно рассматриваются "дыры". При этом указывается, что в большинстве своем эти ошибки не являются специфически "рунетными" и свойственны большинству почтовых серверов при работе через web-интерфейс.

Вот некоторые резюме о безопасности различных "почтовиков".

При использовании почтового сервиса "Яndex.Почта" web-интерфейсом вообще лучше не пользоваться до его переработки и смены политики безопасности. Сервер быстрый и удобный, ничто не мешает пользоваться стандартными методами работы с почтой.

Долгие глумления над "Mail.ru" привели к существенному росту уровня безопасности и пересмотру методов программной реализации. На сегодня ошибки, в основном, подстерегают в web-интерфейсе, но возможность работы без языков сценариев позволяет свести этот риск к минимуму, если настроить браузеры или перед работой отключить Javascript (в Opera и Netscape). Сервер Mail.ru признается в отчете наиболее удачным выбором для желающих иметь безопасный почтовый ящик.

Почтовый сервис "Rambler.Почта" появился недавно и фактически ограничен web-интерфейсом. Но при дополнительной настройке браузера и самой почты этот сервис не опаснее других.

По поводу же "Hotbox.ru" сказано следующее. Свидетельством небрежного подхода разработчиков к web-интерфейсу стало хранение данных в cookies: при включенной опции "запомнить пароль" последний сохраняется в виде "plain text" бeз какой-либо шифровки вместе с логином!

В своем пресс-релизе авторы отчета указывают, что "все производители услуг извещены об имеющихся ошибках", однако пока никаких сообщений об их устранении не поступало.

Даются также и многочисленные советы пользователям web-интерфейсов почтовых служб: в частности, рекомендуется не открывать сразу ссылки, полученные с письмом, так как это чревато кражей секретного вопроса и ответа, или же отключать исполнение Javascript.

По материалам Netoscope.ru

Максим ШИМАНСКИЙ,
max_home@tut.by