Современные бесплатные почтовые службы очень удобные — антиспам, проверка орфографии, контакты, и прочие плюшки, и многие повседневно используют их для работы, регистрации на сайтах, для различного рода уведомлений и личной переписки. Довелось протестировать безопасность некоторых из них, или по крайней мере постараться.
Как и любому исследователю вэб безопасности, мне тоже стало интересно, а какой почтовик лучше? Итак, были протестированы следующие службы.
1. mail.ru
Самая крупная почтовая служба.
2. mail.yandex.ru
Довольно популярная почта от крупнейшего
российского поисковика.
3. gmail.com
Почта от Google
4. mail.rambler.ru
Рамблеровская почта.
5. nextmail.ru
Попсовый почтовик.
Итак, об очень крупных уязвимостях речи и не шло, поэтому проверка состояла из возможности на кражи cookie, путём непосредственной html инъекции (через xss).
Рейтинг уязвимых почтовиков
Рейтинг начинается от самого уязвимого почтового сервиса, и получился он такой:
- mail.ru
- nextmail.ru
- mail.rambler.ru
- mail.yandex.ru и
- gmail.com
Теперь подробнее. Как самый крупный и самый посещаемый почтовик рунета @mail.ru не отличился и безопасностью, с одной стороны понимаешь, ресурс крупный, за всем не уследить, но могли же нанять специалистов, и не мучать отдел поддержки с вопросами, почему вновь украли аккаунт. На страницах данного почтового сервиса были найдены активные, и пассивные xss. Ребята трудятся, и иногда закрывают их, но за последнее время было найдено более десятка кодов, которые позволяют внедрить скрипт в тело самого письма. Первое место среди уязвимых почтовиков.
Nextmail.ru — почта нового поколения! Интересно создание ящика на таких доменах как *@xaker.ru, *@programist.ru, *@dezigner.ru и прочих. Все бы замечательно, если бы не те же дырки. Активная xss в теле письма сводит на нет все бонусы пользования системой. Разве что пассивных xss мной не обнаружено. Возможно, это дело времени. Второе место.
Третье и четвортое место rambler и yandex соответственно, из за количества найденых xss (Между слов. И всё же это критические уязвимости. Многие думают, что сделав привязку cookie к ip, злоумышленнику закрыт доступ? Смысл xss не в краже cookie, а во внедрении своего кода, что прекрасно демонстрирует эта статья).
Ну и мои позравления gmail.com — первое место. Я считаю, что данный сервис наиболее безопасен из вышеперечисленных.
Ещё раз подчеркну, что это моё независимое мнение.
Рекомендации.
Как Вы видите, наличие длинного и сложного пароля не спасёт почту от взлома. Лучше использовать клиент электронной почты (такие как the Bat!, Mozilla Thunderbird, etc).
Все найденные уязвимости будут благополучно отправлены администрации для их устранения.