- PVSM.RU - https://www.pvsm.ru -

Mail.ru Group раскритиковали почту «Моего Офиса», который ранее раскритиковал почту Mail.ru

Сотрудник Mail.ru Group раскритиковал [1] почту «Моего Офиса», который ранее раскритиковал почту Mail.ru.

Недавно ребята из МойОфис выпустили резонансное исследование безопасности почтовых сервисов, используемых госучреждениями в России: rosgospochta.ru/ [2]
Выводы были вкратце таковы:
1) Не используйте для рабочей переписки Mail.Ru, Яндекс и Gmail, потому что ящики на них подвержены «высокой вероятности взлома» (это практически цитата);
2) Используйте Почту МойОфис, потому что она «защищенная» и сертифицированная (да, так и написано).
Естественно, нам стало интересно, что это за «защищенная почта».
«Защищенность» проявилась сразу: зарегистрироваться на сайте просто так нельзя.
Мне пришлось 2 недели переписываться и созваниваться с интеграторами, чтобы наконец получить промокод для регистрации.
Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут.
Дальше — больше. Еще одна XSS, CSRF, опять XSS.
То есть, в прямом смысле: ты думаешь, какая еще «типичная» уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован :) Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали.
Для тех, кто не глубоко погружен в тему, XSS — это клиентсайд-уязвимость, которая позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. От XSS в теле письма не защитит ни установка продукта на своих серверах, ни запрет на доступ к сервису снаружи.
Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание на contact@ncloudtech.ru [3]).
Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя «дырявыми» конкурентов.
И да, если уж сравнивать уровень безопасности, давайте делать это честно: открывайте доступ для всех желающих, запускайте Bug Bounty программу, ищите и репортите баги у других сервисов. В конце концов, честная конкуренция в этой сфере полезна для всех :)

Posted by Karim Valiev [4] on Friday, 1 July 2016 [5]

Источник [6]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/bezopasnost/150260

Ссылки в тексте:

[1] раскритиковал: https://www.facebook.com/photo.php?fbid=1584349338524460&set=a.1518232935136101.1073741828.100008482271886&type=3&theater

[2] rosgospochta.ru/: http://rosgospochta.ru/

[3] contact@ncloudtech.ru: mailto:contact@ncloudtech.ru

[4] Karim Valiev: https://www.facebook.com/valievkarim

[5] Friday, 1 July 2016: https://www.facebook.com/photo.php?fbid=1584349338524460&set=a.1518232935136101.1073741828.100008482271886&type=3

[6] Источник: https://roem.ru/01-07-2016/227818/mrg-mo/