Оцените
У Я.Онлайн нет шифрофки TLS.
Что может произойти и что в этом такого особенного:
Когда трафик передается по сети в незашифрованном виде, во многих ситуациях практически любой может его посмотреть.
Вариант 1. Вы приходите в кафе, где есть бесплатный Wi-Fi, влключаете ноутбук, Я.Онлайн стартует автоматом и авторизуется. Любой человек, сидящий неподалеку со сниффером получает пароль, так как Wi-Fi соединение никак не защищено и каждый в такой сети может увидеть трафик каждого.
Вариант 2. Дома вы используете Wi-Fi с включенным WEP. Любой сосед со сниффером получает ваш пароль (да и вообще весь другой трафик), потому что давно известно, что WEP легко взламывается, после чего превращается в вариант 1.
Вариант 3. Вариант для большиснтва самый удивительный. В любой сети Ethernet, например на работе, где сеть бежит по проводам, абсолютно любой человек с помощью ARP cache poisoning, то есть подмены MAC-адресов в кеше двух или более компьютеров, может пропускать весь ваш трафик через себя. Это значит, что он также элементарно получает пароль. И это не в сети, где используются хабы (там так вообще ничего не надо делать, все видят трафик всех), а в сети с коммутаторами (свичами), где фактически между источником и адресатом устанавливается peer-to-peer соединение.
Что делать:
То, что в данном случае можно воспользоваться сторонним клиентом, — это понятно. Речь ведется об использованнии нашего с яндекса.
А поделать негику особенно нечего. Единственная возможность — использовать Я.Онлайн в сетях, в которых вы уверены. Например дома в проводной сети, где обеспечивается физическая безопасность (сосед не сможет воткнуть провод в ваш свич). Или, опять же, дома в сети Wi-Fi с включенным WPA с достаточно надежным паролем. Лучше всего подходит пароль из произвольного набора маленьких и больших букв, цифр и желательно символов пунктуации. Наилучшая длина пароля — максимальная, обычно это 63 символа. Такое WPA-шифрование взломать невозможно при современном развитии науки и техники.
Для более продвинутых людей есть красивый способ. Можно завести собственный VPN-сервер и везде, где небезопасно, использовать его. Его можно завести хоть дома, на домашней Линукс-машине, хоть на собственном VPS-хостинге, которых довольно много сейчас.
Конечно, в приведенных примерах трафик не будет защищен полностью до сервера, его принимающего. Но главная наша задача — преодолеть самый опасный участок, как то: соседи в кафе или дома.
***
Что страшно именно с Я.Онлайн, пароль от него является паролем к единому аккаунту на Яндексе. Это доступ ко всем службам, начиная от почты, заканчивая фотками.
Как только я все это обнаружил, я сразу же написал в Яндекс через форму обратной связи Я.Онлайна с вопросом, есть ли возможность в официальном клиенте включить шифрование авторизации. Прошло два дня, но ответа пока не последовало, как и обновления клиента.
http://habrahabr.ru
Когда трафик передается по сети в незашифрованном виде, во многих ситуациях практически любой может его посмотреть.
Вариант 1. Вы приходите в кафе, где есть бесплатный Wi-Fi, влключаете ноутбук, Я.Онлайн стартует автоматом и авторизуется. Любой человек, сидящий неподалеку со сниффером получает пароль, так как Wi-Fi соединение никак не защищено и каждый в такой сети может увидеть трафик каждого.
Вариант 2. Дома вы используете Wi-Fi с включенным WEP. Любой сосед со сниффером получает ваш пароль (да и вообще весь другой трафик), потому что давно известно, что WEP легко взламывается, после чего превращается в вариант 1.
Вариант 3. Вариант для большиснтва самый удивительный. В любой сети Ethernet, например на работе, где сеть бежит по проводам, абсолютно любой человек с помощью ARP cache poisoning, то есть подмены MAC-адресов в кеше двух или более компьютеров, может пропускать весь ваш трафик через себя. Это значит, что он также элементарно получает пароль. И это не в сети, где используются хабы (там так вообще ничего не надо делать, все видят трафик всех), а в сети с коммутаторами (свичами), где фактически между источником и адресатом устанавливается peer-to-peer соединение.
Что делать:
То, что в данном случае можно воспользоваться сторонним клиентом, — это понятно. Речь ведется об использованнии нашего с яндекса.
А поделать негику особенно нечего. Единственная возможность — использовать Я.Онлайн в сетях, в которых вы уверены. Например дома в проводной сети, где обеспечивается физическая безопасность (сосед не сможет воткнуть провод в ваш свич). Или, опять же, дома в сети Wi-Fi с включенным WPA с достаточно надежным паролем. Лучше всего подходит пароль из произвольного набора маленьких и больших букв, цифр и желательно символов пунктуации. Наилучшая длина пароля — максимальная, обычно это 63 символа. Такое WPA-шифрование взломать невозможно при современном развитии науки и техники.
Для более продвинутых людей есть красивый способ. Можно завести собственный VPN-сервер и везде, где небезопасно, использовать его. Его можно завести хоть дома, на домашней Линукс-машине, хоть на собственном VPS-хостинге, которых довольно много сейчас.
Конечно, в приведенных примерах трафик не будет защищен полностью до сервера, его принимающего. Но главная наша задача — преодолеть самый опасный участок, как то: соседи в кафе или дома.
***
Что страшно именно с Я.Онлайн, пароль от него является паролем к единому аккаунту на Яндексе. Это доступ ко всем службам, начиная от почты, заканчивая фотками.
Как только я все это обнаружил, я сразу же написал в Яндекс через форму обратной связи Я.Онлайна с вопросом, есть ли возможность в официальном клиенте включить шифрование авторизации. Прошло два дня, но ответа пока не последовало, как и обновления клиента.
http://habrahabr.ru