Рубрика «gmail» - 10

Совсем недавно в публичный доступ попали базы паролей популярных почтовых сервисов [1,2,3] и сегодня мы их проанализируем и ответим на ряд вопросов о качестве паролей и возможном источнике (или источниках). Так же мы обсудим метрики качества отдельных паролей и всей выборки.

Не менее интересными являются некоторые аномалии и закономерности баз паролей, возможно, они смогут пролить свет на то, что могло служить источником данных и насколько данная выборка является опасной с точки зрения обычного пользователя.

Формально, мы рассмотрим следующие вопросы: насколько надежными являются пароли в базе и могли ли они быть собраны словарной атакой? Есть ли признаки фишинговых атак? Могла ли «утечка» данных быть единственным источником данных? Могла ли данная база быть аккумулирована в течении длительного периода или данные исключительно «свежие»?

Структура статьи:

  1. Описание данных
  2. Невалидные пароли и не-пароли
  3. Распределение длины паролей
  4. Распределение надёжности паролей
  5. Словарная атака
  6. Топ паролей
  7. Выборка Gmail
  8. Выборка Rambler
  9. Анализ открытых источников
  10. Заключение

Читать полностью »

Популярному почтовому сервису от Google не удалось избежать повторения ситуации с выкладыванием довольно внушительных баз с логинами и паролями, которая недавно случилась с Yandex и Mail.ru. В сети появилась база с адресами ящиков и паролями на 4929090 аккаунтов gmail.com. Актуальность базы не проверена, но сообщается о более чем 60% валидных пар почта: пароль.

В комментариях к предыдущим записям пользователи резонно замечали, что торговля подобными базами далеко не новость, и чего мол тут шум подняли. С этим трудно не согласиться, но опять же, по комментариям видно, что многие пользователи находили в этих базах свои аккаунты, зачастую с актуальными паролями, после чего меняли пароли и начинали более внимательно относиться к безопасности своих почтовых ящиков. Поэтому считаю не лишним осветить появление и этой базы в свободном доступе в сети.
Читать полностью »

В США детям до 13 лет по закону запрещено пользоваться большим количеством различных интернет-сервисов. В том числе, конечно, социальными сетями. Но дети тоже хотят в Youtube! Поэтому компания работает над специальным типом аккаунта, который позволит детям смотреть ролики и пользоваться почтой.

Под хабракатом — подробности и опрос на тему использования социальных сетей детьми.

image

Читать полностью »

Делаем backup Google или паранойя по поводу санкций. Owncloud и другие открытые решения
В свете последних топиков, в том числе «Autodesk не будет продавать ПО попавшим под санкции компаниям», появляется ощущение, что маховик абсурда все сильнее раскручивается. Мы не будем осуждать в этом топике политические причины всего этого безобразия, а подумаем немного о том, что произойдет, если внезапно «выключат Google», причем неважно с какой стороны. Также предлагаю рассмотреть один из вариантов забрать себе накопленный контент, используя открытое ПО.

Для начала давайте подумаем, что является наиболее ценным для большинства пользователей сервисов Google? В первую очередь, это личный контент, который хранится в облаке, почта и другие материалы. Во вторую очередь, это сервисы, которым нужно найти замену в кратчайшие сроки. Мы не будем рассматривать нужды профессиональных разработчиков под Android и корпоративные нужды.
Читать полностью »

В Хьюстоне мужчина был арестован после того, как Google обратился в Национальный центр поиска пропавших и эксплуатируемых детей, и сообщил, что человек хранил откровенные фотографии ребенка в его электронной почте. Как оказалось, этот человек ранее уже был признан виновным в сексуальных домогательствах к ребенку в 1994 году.

Сканирование почты. Не зашел ли Google слишком далеко?
Читать полностью »

Proof of Concept

Из такого заголовка довольно сложно понять, «а кому оно вообще нужно?», а потому для начала краткое предисловие.

Ни для кого не секрет, что интернет-провайдеры весьма агрессивно смотрят на малый бизнес. Условия обслуживания физических и юридических лиц примерно те же, а вот цена весьма существенно разнится. Ситуация монополии в какой-то мере исправилась с приходом таких стандартов, как LTE и 4G, но условия обслуживания и сейчас остаются весьма далекими от гуманности. Итак, это статья посвящается тем, кто по тем или иным условиям вынужден взаимодействовать с провайдером, который предоставляет внешний IP адрес, но не дает возможности редактировать соответствующие обратные DNS записи.

Наверняка многим известно, что в качестве требования к почтовым серверам, помимо DKIM записей и прочих проверок, предъявляется еще и обязательное наличие обратной DNS записи. В противном случае, письма либо не будут доходить вовсе, либо будут попадать в папку «Спам». С вышеозначенными фактами далее мы и будем разбираться.

Основная идея

Какие варианты остаются? Во-первых это сервисы прозрачного SMTP проксирования. Но в этом случае клиенту будут приходить письма со стороннего домена, что, вполне естественно, может вызвать недоверие клиента к вашему ресурсу. Во вторых это магия. В сторону последней и будем думать.

Идея в том, чтобы избавиться от вашего IP, как от начального релея. В этом нам помогут службы Gmail Hosted. Процедура настройки вашего домена для использования Gmail Hosted довольно проста и хорошо задокументирована. За всеми подробностями сюда: Google Apps для бизнеса.

Настроив свой домен для работы со службами Gmail Hosted и зарегистрировав соответствующий почтовый ящик для связи с клиентами (предположим это noreply@yourdomain.com), очень хочется автоматически из кода вашего ресурса оповещать своих клиентов о событиях. Но если же в такой конфигурации попытаться воспользоваться учетной записью noreply@yourdomain.com, как релеем, то получим то же, от чего уходили. Нанимать сотрудника, который бы входил в веб-интерфейс и отправлял оповещения — неразумно.
Читать полностью »

Pandor — end to end шифрование емейл переписки

На злобу дня, когда все говорят о перехваченных переписках или взломанных почтовых ящиках (Аркадий Дворкович стал жертвой хакеров), я хочу вам представить Pandor — решение для защиты содержимого емейл переписки.

Pandor — существует на данный момент как расширение к браузеру Google Chrome и работает с веб-интерфейсом Gmail. Расширение добавляет в интерфейс элементы для создания шифрованного сообщения на основе OpenPGP. Основная задача — сделать безопасную переписку максимально простой для использования конечными пользователями. С этой идей я и мой коллега Khalil Bouzidi пришли на Startup Weekend Monaco — решили попробовать свои силы создать примерный бизнес-план и, конечно, прототип. На самом деле, в течении викенда мы смогли лишь четко определить, как мы хотим чтобы это работало. Все должно быть лишь в один-клик и пользователям не надо было бы «договариваться» о принципе шифрованного обмена информации. На стартапе мы представили презентацию и видео, как мы видем работу сервиса с точки зрения пользователя. По решению жури наш проект получил первое место.
Высокая оценка на конкурсе воодушивила нас на воплощение проекта в жизнь. В течении 2-х месяцев, мы в свободное от основной работы занимались проектом и запустили сейчас бету версию, которую я вам и предлагаю оценить. Параллельно с разработкой, был разработан бизнес-план и пакет документов был подан на другой конкурс в Монако и уже прошли в нем первый тур (из 30 проектов было отобрано 11).
Читать полностью »

Доброго времени суток, товарищи

Заранее извиняюсь за формат поста, вероятно ситуация весьма обыкновенная, но во всем этом есть несколько фактов, которые меня заинтересовали. Итак, сегодня под конец рабочего дня на телефон приходит смс о том, что мой GMail-аккаунт пытались взломать. Содержание смс было следующим:

Подозрительный вход в аккаунт <myname>@gmail.com (см. google.com/blocked)

Читать полностью »

в 21:38, , рубрики: api, gmail, gmail api, Google, imap, метки: ,

Компания Google решила открыть для сторонних приложений доступ к содержимому почтовых ящиков Gmail и представила программные интерфейсы Gmail API. По мнению Google, они удобнее и безопаснее, чем протокол IMAP.

Gmail API дают доступ к отдельным ресурсам, таким как Threads, Messages, Labels, Drafts или History. Например, стороннее приложение может запросить доступ только на отправку писем (но не чтение), или только на чтение (но не отправку), или только на изменение меток для писем и цепочек, или только на поиск конкретных писем и цепочек.
Читать полностью »

Google ввел шифрование Gmail трафика между дата центрами для надежной защиты данных пользователей

Сегодня корпорация Google заявила о том, что команда проекта Gmail решила ввести шифрование «почтового» трафика Gmail между дата-центрами. Это сделано, по большей части, для защиты личных данных пользователей от северокорейских шпионов NSA и прочих возможных служб, занимающихся перехватом и анализом трафика.

Теперь любое сообщение электронной почты будет зашифровано, в том числе, и при переходе почтового трафика от дата-центра к дата-центру Google. Ранее неоднократно публиковалась информация о том, что NSA подключается именно к меж-датацентровым каналам ИТ-компаний, поскольку такой трафик либо вообще незашифрован, либо минимально защищен. По словам представителей Google, такая защита стала «приоритетом после событий последнего лета», то есть, после раскрытия многих тайн NSA Эдвардом Сноуденом.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js