В Mail.Ru обнаружили дыру

[SDA]

Блог Toogeza описывает обнаруженную в Mail.Ru дыру, приводящую к возможности входа в чужой почтовый ящик. Цитата:

"В логах статистики мы частенько замечали не один переход по ссылкам из входящей почты на сервере mail.ru. По понятным причинам мы даже не пытаемся такие ссылки открывать.

Но сегодня я случайно нажал на referrer вида http://win.mail.ru/session/7250…. И каково же было моё удивление, когда перед глазами открылся ящик ничего не подозревающего пользователя сервиса mail.ru!"
http://toogeza.com/2008/10/10/1116

[DVi]

Иными словами, для попадания в ящик на Майл.Ру достаточно послать атакуемому письмо со ссылкой, дождаться, когда он кликнет на нее через веб-интерфейс, и посмотреть логи своего сайта?
Сейчас проверю.

Добавлено через 8 минут

Проверил. Реферрер не содержит слова /session/, и переход по нему не приводит к вскрытию ящика. Попытавшись открыть адрес, указанный в логах моего сайта, я увидел лишь это:

Требуемое письмо на сервере отсутствует.

[XP user]

Иными словами, для попадания в ящик на Майл.Ру достаточно послать атакуемому письмо со ссылкой, дождаться, когда он кликнет на нее через веб-интерфейс, и посмотреть логи своего сайта?

Как пояснили на хабрахабр-точка-ру, это не по умолчанию у всех, а только у тех кто принудительно отключил cookie.

Paul

[amistad-dm]

vot tak prosto!

[Jolly Rojer]

Как пояснили на хабрахабр-точка-ру, это не по умолчанию у всех, а только у тех кто принудительно отключил cookie.

Paul

Результат такой же как и у DVI как при включенных куках так и при выключенных.
Видимо уже всеже закрыли.

[Numb]

Результат такой же как и у DVI как при включенных куках так и при выключенных.
Видимо уже всеже закрыли.

Маленькое пояснение: на habrahabr-е, на который ссылался p2u, речь шла о выключенных сеансовых cookies в настройках веб-интерфейса на mail.ru (опция находится в разделе "Безопасность" и включена по умолчанию).