Címlap » Fórum » Biztonság » Security-all

az új freemail.hu béta

 ( nmarci | 2007. április 20., péntek - 7:21 )

Nem tudom, hányan használtok freemailt.hu-t. A következőt vettem észre: küldtem magamnak egy levelet a következő tárggyal:

test <script type="text/javascript">alert("Hello World!");</script> end

Miután megkapom a levelet, és megjelenik a webes felületen a rövid listában, lefut a script. Ez elég kritikus lehet, ha jól sejtem. (Eddig sajnos nem találtam még értelmes módját a hiba bejelentésének a freemail.hu-n.)

‹ geoblacklist, vagy amit akartok :) OpenSSL proxy-val ›
 »
  • A hozzászóláshoz belépés szükséges
  • 39475 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( suti | 2007. április 20., péntek - 7:40 )

use gmail what is mail for gay :)

 ( Exalt | 2007. szeptember 30., vasárnap - 17:26 )

Miért lehet ez kritikus ?

 ( bigacsiga | 2007. szeptember 30., vasárnap - 18:49 )

pl.: szkriptből megváltoztatod a jelszót?
De citromail is "sérülékeny".

 ( bzsozso | 2007. október 1., hétfő - 17:03 )

Kipróbáltam a citrót (most is) és nem eszi meg. Nem futtatja le a kódot se listában, se olvasásnál.
Erre gondoltál?

 ( erenon | 2007. szeptember 30., vasárnap - 18:56 )

xss: http://en.wikipedia.org/wiki/Cross-site_scripting

 ( hrgy84 | 2007. szeptember 30., vasárnap - 20:57 )

A freemail több szempontból is problémás, nem éri meg használni. Ellenben GMail.

 ( balage_82 | 2007. szeptember 30., vasárnap - 21:44 )

Biztos hogy azt nem érinti ilyen?
Jah és végülis egy tavalyi szabályzatmódosítás következtében már csak 5 évig jegyzik meg az infókat rólad az eddigi 15 év helyett.

 ( efpe | 2007. szeptember 30., vasárnap - 22:02 )

Akkor mondj jobb alternativat.

 ( hrgy84 | 2007. szeptember 30., vasárnap - 23:12 )

Nézd. vulnerable vagy sem, sokkal jobb mint az igen tisztelt FM. Nekem volt, hogy 24 óra alatt kézbesített from és to is. Na ennél én gyorsabban súgom a címzett fülébe az üzenetet. Azonfelül elég gyengécske a felület, spamok jönnek ezerrel, ennél még a vipmail is jobb, ott legalább van vmi minimális spam filtering default bekapcsolva. Van egy olyan érzésem, hogy le fogok íratkozni a freemailes fiókomról hamargyorsan, mert kezd irritálni a sok spam ami arrólfelől gyün.

 ( MetaMorfoziS | 2007. szeptember 30., vasárnap - 23:29 )

Azt azert tegyuk hozza hogy a szarrago fm is spamel.
Probaljatok csak ki, csinaljatok egy kamu cimet, es lepjetek be mondjuk ket het mulva. Undorito szarragas megy. Keves hely, igenytelen felulet, silany szolgaltatas nemi spammel fuszerezve...
4in1, mi kell meg? :)
__________________________________________________________________
A tudatlanság: erő.

 ( hrgy84 | 2007. október 1., hétfő - 6:27 )

Az FM alapvetően magyar spammel spamel, engem a viagra jobban zavar.

 ( tamsa | 2007. október 1., hétfő - 7:37 )

magyar spam ? goto nhh!
vagy olvasd el ezt
esetleg emezt

-TamsA-

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

 ( MetaMorfoziS | 2007. október 1., hétfő - 15:28 )

Egyreszt nyilvan elfogadtam regisztracional, hogy nem rakhatom meg az edesanyjukat, masreszt viszont nem erdekel, aki hulye es fm-et hasznal megerdemli:)
__________________________________________________________________
A tudatlanság: erő.

 ( hrgy84 | 2007. október 1., hétfő - 18:41 )

Kösz, olyan kedves vagy... :)
Eddig kellett, mert a suliból oda is küldtek, de építem lefele. VIP yobb.

 ( freebush | 2007. október 1., hétfő - 7:07 )

A freemailben a saját spamszűrőjével tiltólistára tettem az egész domaint, ahonnan eddig a magyar spamek jöttek.

 ( Exalt | 2007. október 1., hétfő - 7:16 )

Akkor ez most egy kritikus hiba vagy sem ?? :)

 ( rka | 2007. október 1., hétfő - 7:35 )

Ez nem csak a freemail hozzaallasarol arulkodik,
hanem a te bongeszobeallitasaidrol is.
A script a te oldaladon futott.
No alkalmazas-proxy szintu tuzfal,
no js/java tiltas, no noscript...

Ok "csak" visszakuldtek, te futtattad ;)

 ( eax | 2007. október 1., hétfő - 15:07 )

Ez azert hulyeseg, mert a freemail webes felulete a js kikapcsolasaval egyaltalan nem mukodik, sot, a gmailtol eltekintve meg fallback-elni sem tud egy "basic" modba.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( rka | 2007. október 1., hétfő - 15:40 )

a hulyeseg talan eros.
azert szerepel benne az alkalmazas proxy.
scrit es script kozott kulonbseg van ;)

 ( index | 2007. október 1., hétfő - 7:47 )

Hello!

Igen, ez gáz!

Ezt hívják XSS (cross site scripting) sérülékenységnek.

Gondolj bele: Valaki küld egy levelet neked, aminek a tárgyában javascript van, és amikor megnyitod a levelet lefut a kód a gépeden.

Üdv: Marcell

 ( Exalt | 2007. október 1., hétfő - 13:11 )

De a freemail rendszerében ezzel nem tudsz kárt okozni ?!
(Nem azért mert akarok, hanem mert az én webmail-em is ugyan ezt a hibát produkálja)

 ( eax | 2007. október 1., hétfő - 15:09 )

Hat, egy js-alapu freemail worm belefer ebbe a kategoriaba? Mert akkor igen...

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( index | 2007. október 1., hétfő - 13:27 )

Hello!

Ezzel a freemail rendszerében nagyon kárt nem tudsz okozni, "csak" egy gonosz levélküldő tud egy olyan levelet küldeni neked, amit ha megnyitsz, egy script le tud futni a gépeden, egy olyan amilyet ő akar.

RKA-nak igaza van abból a szempontból, hogy valamennyire a saját felelősséged is, hogy milyen beállításokkal nézegeted az internetet, de az nem szép dolog, hogy ilyen sérülkényen hagyják a programozók a levelező rendszerüket.

Üdv: Marcell