模糊的电子邮件的脆弱性

这个漏洞是处理电子邮件地址的两种不同方式之间交互的结果。Gmail忽略地址中的点,所以bruce.schneier@gmail.com与brucecschneier@gmail.com相同,与b.r.u.c.e.schneier@gmail.com相同。(注:我不拥有这些电子邮件地址中的任何一个——如果它们甚至有效的话。)Netflix不会忽略点,这些都是唯一的电子邮件地址,可以用来注册帐户。这种差异是可以利用的。

我差点被愚弄到要永远为Eve的Netflix接入付费,我停顿了一下,因为我不认识那张被拒绝的卡片。更一般地说,这里的网络钓鱼骗局是:

  1. 点击Netflix注册表格,直到找到一个“已经注册”的gmail.com地址。假设你找到了受害者杰梅什费希尔。
  2. 使用地址james.hfisher创建Netflix帐户。
  3. 注册免费试用一次性卡号.
  4. Netflix应用“活动卡检查”后,取消卡。
  5. 等待Netflix支付取消的卡。然后,Netflix给james.hfisher发电子邮件,要求提供一张有效的卡。
  6. 希望吉姆能把邮件读给james.hfisher,假设这是他的Netflix帐户,由JameshFisher支持,然后输入他的卡****1234。
  7. 将Netflix帐户的电子邮件更改为eve@gmail.com,阻止Jim访问此帐户。
  8. 使用Netflix免费永远与吉姆的卡****1234!

模糊的,对?一个问题,对?

James Fisher谁写了这篇文章,认为这是谷歌的错。忽略点可能会给人们带来大量不同的电子邮件地址,但这并不是人们真正想要的功能。只要其他网站不遵循谷歌的领导,这些问题是可能的。

我觉得问题更微妙。这是两个没有安全漏洞的系统的一个例子,它们共同构成了一个安全漏洞。当我们将更多的系统直接连接在一起时,我们会看到更多这些。就像谷歌/Netflix的互动,很难弄清楚谁该受到指责,谁——如果有人——有责任解决这个问题。

4月9日发布,2018年上午6:30•105条评论

评论

埃里克·4月9日,2018点6:47

我在Gmail中遇到了这个问题的愚蠢的用户技巧版本。

有个人的工作电子邮件地址显然是“w.essing@”无论定义域是什么。
先生。ESsing通常会发出“W.ESsing”作为他个人的Gmail地址。

没有圆点,那是我的gmail地址。

他的信件是德语的,同样,我不会说也不会读。

布莱恩·4月9日,2018点6:49

这不是说是假的吗?因为为了让信用卡首先进入账户,创建账户的人需要访问它,既然netflix账户验证邮件james.fisher@gmail.com会发送到jamesfisher@gmail.com,这个帐户永远不会被正确设置。

只是说说而已。

对,在这种情况下,可以使用另一个电子邮件地址设置帐户,后来改成james.fisher@gmail.com,但是,再一次,将发送更改通知。我不知道。看起来可疑。

Juergen·4月9日,2018点6:51

问题很明显是在Netflix的一边——他们创建了一个帐户而没有验证客户的电子邮件地址。

处理本地部分是每个邮件服务器操作员都可以自己决定的事情——第三方不能对流程做任何假设。有一些RFC明确地说明了这一点。当然,在激活账户和提供服务之前,有一个很好的做法就是核实联系人的详细信息。

R2D2·4月9日,2018年7:02我

这似乎不是“两个系统没有安全漏洞”的例子。统计用户,有三个系统,都有许多洞。

默文·比克戴克·4月9日,2018时7分17分

@Erik:

如果没有点的gmail地址是你的gmail地址,这也是你的gmail地址和点。因为点被忽略了。

无论是德国的埃辛,还是作为他的Gmail账户,都是你的账户。所以他要么给出了错误的域,要么忘记了一个后缀,比如w.essing123。

在相关注释中:

忽略点是为了避免人们忘记点时出现错误的电子邮件。为您提供多个一次性地址的特性实际上是+后缀。name+something@是name的自动别名@

当然,这只在网站接受name+1@和name+2@作为不同的电子邮件地址时才有用……

美食·4月9日,2018上午7时19分

这是一个众所周知的问题,10年前就已经使用过了。注意:不同的邮件服务器以类似的方式处理后缀(通常以破折号开头)。还有许多弃置电子邮件提供商(过去常常被论坛垃圾邮件发送者使用)。所以一封独特的电子邮件并不能解决任何问题。

RealFaveNeWS·4月9日,2018年21点

当然,谷歌忽视了这一时期是有错的吗?这是电子邮件地址中的一个合法字符,所以忽略它就是问题所在??

布莱恩·4月9日,2018年21点

@默文·比克戴克

Gmail不关心点,所以它可以从网上抓取电子邮件地址,人们在那里放一些模糊的点来阻止机器人。

至少我是这么想的:p

这些点还可以帮助对电子邮件进行排序。为不同的站点/人员提供不同的迭代,并根据规则进行筛选。

马丁·4月9日,2018年25点

@埃里克:真有趣,我也有同样的问题,还有一个德国人。我甚至遇到了网站不验证电子邮件的问题。到目前为止,他已经在Dropbox和AliExpress上创建了账户。

·4月9日,2018年34点

这是我对谷歌的主要抱怨之一。他们现在足够大了,他们可以做任何他们想做的事情,忽略一些他们不喜欢的已发布标准。

像对电子邮件地址中的点视而不见,标签不像标准的IMAP文件夹,当通过CalDAV等同步时,触点行为异常。

然而,没有人愿意,甚至可以,带他们去做这件事因为-好吧,你打算怎么办?

泽伊·4月9日,2018点7分41分

我知道有两个用户它在两个不同的国家。一个有Gmail地址,另一个有“相同”地址gmail地址只有几个点。发送给没有圆点的人的电子邮件也到达了“圆点”。收件箱。我发现当这些点Gmail用户联系我们。现在你不能用点(或不带点)创建一个与另一个点(或不带点)冲突的Gmail地址,但看起来这在过去是可能的。这是不可接受的电子邮件发送给一个用户落在别人的邮箱…密码重置链接拦截变得更容易。

硫氧还蛋白·4月9日,2018点7分47分

这当然可以解释为什么我永远无法与一个拥有gmail账户的朋友交换电子邮件。自从1992年我获得了我的第一个现代互联网地址(与我以前拥有的旧的Bang Path地址相反),我在发送或接收一些主机的邮件时遇到了问题,甚至在每个跃点把垃圾邮件过滤器设置为“核”之前。

直到最近,我总是在我使用的邮件主机上使用firstname.lastname。

所以谷歌(和其他公司?)正在忽略或合并有效的电子邮件地址。难怪现在电子邮件如此不可靠…

剂量物质·4月9日,2018上午7点55分

如果你有像bruce@gmail.com这样的gmail地址,你可以在加号之后使用它。比如bruce+netflix@gmail.com,布鲁斯+amazon@gmail.com,所以你会知道你的邮件是从哪里泄露的或者垃圾邮件是从哪里来的。从gmail开始,因此,不验证电子邮件地址绝对是Netflix的问题。

弗雷克斯·4月9日,上午2018时45分45分

这就像格式塔:整体(意外支付某人的Netflix)不同于其部分的总和(google dots和netflix不验证电子邮件,两个看似无关紧要的问题)。

另一方面,这个功能(电子邮件中的点)太模糊了,以至于无法使用。就像是在施压?在gmail.com上显示所有快捷键的列表。大多数人都不知道这些特性。

点特征对于区分名字和姓氏也很无用(我能想到的唯一一种非黑客的用法,这本身就是很利基的,许多人使用一个名字+整个姓氏的字母,或者只是一个习惯性的一个词的绰号),因为如果这种分离对接受者来说不明显,而且没有任何大写或圆点,那么很可能是一种语言障碍,以至于他们不容易发音或记住全名,无论他们是否得到了xxx.zzz-xxxzz。Z或XXX ZZZ。

克里斯·4月9日,2018上午9点04分

1.我以前用过这个功能,所以这是我们一些人想要的功能。
2。您可以更进一步,使用“+”添加额外的gmail电子邮件地址添加一个后缀到您的帐户名称。

如果你的gmail账户是bob@gmail.com,还有b o b+netflix@gmail.com或bob+其他任何东西(或b.o.b+anything@gmail.com)

阿兰斯·4月9日,2018年9:53我

@埃里克,Mervyn马丁

我认为在德国和英国,他们使用googlemail.com有一段时间了,因为存在与gmail.com域相关的IP问题。用户名@gmail.com,username@googlemail.com,user.name@gmail.com,user.name@googlemail.com,不同地点的点的变体都应该是同一帐户的有效地址。正如默文上面指出的,您可以通过附加+和一些其他文本来创建更多的变体。

我经常给别人买gmail。通常电子邮件来自企业,通常,一个名字和我相似的人购买的一些产品或服务的收据(通常是相同的姓和首字母,但不同的名)。在许多情况下,这似乎是一个真正的错误。在其他情况下,我怀疑我的电子邮件地址是被泄露的,因为它看起来可能是一封邮件,该人和他(或她)拥有(无论是否是真正的错误,这个人几乎总是一个“她”)不想让来自某个特定企业的营销电子邮件成为麻烦。在某些情况下,我收到了几家公司为某个特定人员发送的电子邮件,因此可能该人员故意给出了错误的电子邮件地址。

JCU·4月9日,2018十点

当然,谷歌忽视了这一时期是有错的吗?这是电子邮件地址中的一个合法字符,所以忽略它就是问题所在??

他们可以因为忽略周期而接受错误,但这不是问题。正如Juergen所写,当地的部分是他们自己想处理的。他们也可能选择不区分大小写(技术上讲,他们给同一个邮箱分配了2^n个本地部分,因为标准上说它是区分大小写的)。忽略+和后面的东西是很常见的,同样是非标准的。

奥利弗·4月9日,2018上午10点11分

嗨,布鲁斯

等一下!
难道没有一个像RFC这样令人讨厌的东西来定义如何使用电子邮件和电子邮件地址吗?
我不认为“圆点”电子邮件地址中的其他拉丁字母有什么特别之处吗??!至少没有特别到可以被忽略的程度?
而且它应该由MTA来解释?

然后,如果是这样的话,这显然是Gmail的错,不是吗?

欢呼,奥利弗

PS: sheeeesh,甚至还有一个针对CPIP的RFC,看在上帝的份上!!!!

马克·4月9日,2018上午11点01分

我完全赞成在适当的时候让谷歌负起责任,但是…我不认为这是谷歌的问题。你可以给我发邮件,在我的Gmail地址中有或没有点;我都能理解。基本上,它看起来世界+狗好像我有多个地址-但他们都来找我。

Netflix另一方面,允许您使用电子邮件地址作为用户名,而不会使您验证它。

再告诉我一次为什么这是谷歌的问题?

此外:
他收到一封电子邮件,告诉他他的信用卡被拒绝了。修复它,他必须登录Netflix帐户,没有?他猜中密码了吗?如果这个故事是真的,这意味着Netflix的安全性甚至比他想象的还要糟糕。

乔丹·4月9日,2018上午11:37

地址的本地部分完全由收件人邮件系统所有,并且具有收件人系统想要的任何语义。它可能区分大小写或不区分大小写。它可以将标点符号视为重要的,或者没有。它可以将特定的子字符串视为重要的,或者没有。它可以被*完全忽略*所有邮件都被发送到一个邮箱-实际上,非常常见和有用的配置。

谷歌在这里做的一切都是标准所不允许的。

(原相关章节为RFC 822第6.2.4节。最新的相关章节是RFC 5322第3.4.1节。两者都表示本地部分由目标主机解释。RFC5321明确表示没有其他主机可以解释它。)

默文·比克戴克·4月9日,2018上午11点40分

@布瑞恩:


Gmail不关心点,所以它可以从网上抓取电子邮件地址,人们在那里放一些模糊的点来阻止机器人。

这两头都很蠢。

如果你假设你能“模糊”你的电子邮件中有点,然后你就真的指望着那些被忽略的点点滴滴,否则发送到那个地址的邮件不会出现在你的邮箱里,而是出现在其他人的收件箱里,因为你愿意给出一个错误的地址。

另一方面…你能详细解释一下为什么吗谷歌需要刮擦Gmail网站地址??

这些点还可以帮助对电子邮件进行排序。为不同的站点/人员提供不同的迭代,并根据规则进行筛选。

+就是这个意思。被忽略的点主要是为了捕捉打字错误。

Random1·4月9日,2018上午11时56分

@我相信Netflix的一部分就是Netflix向用户发送一个自定义的URL来更新账单信息。为了客户保留和收入,他们想让这一切尽可能简单…所以没有密码。因为他们知道他们把它发送给了正确的用户的电子邮件(对吗?对吗?)

在进入帐户设置时总是提示输入密码确实可以解决问题,因为骗子不知道受害者的真实密码。我很肯定Netflix可以衡量这些小麻烦给他们带来的价值,对于一个或两个月(或永远)放任它的客户。

默文·比克戴克·4月9日,2018年下午12:03

@Security山姆:

根据谷歌的说法,他们不会被忽视: https://support.google.com/a/answer/33386?HL=EN

那是给GSuite的一个优待品Gmail。

GSuite为每个注册用户/电子邮件向您收费,并且可能有一个Intrest,不允许在每个邮箱中创建多个电子邮件。

从链接中:“句点(.)不被忽略因为他们在gmail.com帐户中."应该表明这与gmail.com无关吗

戴维舵·4月9日,2018下午12点21分

@Oliver
我相信你已经想到了RFC 2822。
第3.4.1节给出了“地址规范”规范。
“addr spec是包含
本地解释的字符串,后跟at符号字符(“@”,
ASCII值64),后跟一个Internet域。局部的
解释字符串是带引号的字符串或点原子。如果
字符串可以表示为点原子(即,它不包含
文本字符或“”以外的字符。被文本包围
字符)然后应该使用点原子形式和
不应使用带引号的字符串形式。评论和折叠白色
不应在“@”周围使用空格在地址规范中

地址规范=本地部分“@”领域

本地部分=点原子/引用字符串/obs本地部分

domain =点原子/域-文字/ obs域"

关于“本地部分”它继续这样说这就是在这里引起麻烦的原因。

“本地部分是一个与域相关的字符串。在地址中,
它在特定的主机上被简单地解释为a的名称
特定的邮箱。”

不幸的是,就是这样。RFC202045,RCF2046,在mime文档系列中,rfc2049似乎假定rfc2822已经充分涵盖了这一点。

“…一个与域相关的字符串…在特定主机上简单地解释为
特定邮箱…”似乎给了Gmail自由去做一些可能被认为对安全有愚蠢危险的事情。当涉及到Gmail时,向Emptor提出警告,似乎是这样。

乔丹·4月9日,2018点12:27

我刚刚创建(并取消)了一个Netflix帐户并确认:他们没有验证所使用的地址。

然而,他们*的确*发出“欢迎”消息,所以至少有个暗示…有趣的…正在进行。

有趣地,我的“再见”在我“欢迎”的三分钟前就发出了这条信息。消息。

justina.colmena·4月9日,2018年32点

从技术上讲,不允许在“@”的左侧使用点或句点。在电子邮件地址中,虽然使用了电子邮件地址-黑客和!-在DNS普及之前的那些日子里的路径。

DJ·4月9日,下午2018点55分55分

有人经常试图用这个接管我的谷歌和社交媒体账户,这是有问题的。也被签了昂贵和无用的服务。

看起来点阵比非点阵更重要。

这是一个古老而著名的时代。显然,这是一个令人费解的问题。

如果需要Gmail Addys,最好是同时声明非点表单和点表单。

不可能的愚蠢·4月9日,下午2018点01分

没有人参与进来似乎是清白的。Netflix对其帐户使用外部标识符是错误的,把它作为联系信息的一种形式(在这种情况下是电子邮件,但如果他们使用电话号码而没有对文本进行规范化,也会出现同样的问题)。我知道这是最近创建帐户的常用方法,但是,任何称职的安全专业人员都不会称之为最佳实践。

但他们发出“感谢加入”电子邮件,还有很多其他的电子邮件应该要清楚,一个新账户正在被冒用地建立。如果用户在整个过程中被仿冒,导致他们支付两个(或更多)帐户,并且他们不会“永远”质疑它,那是他们自己的愚蠢。

由于各种原因,Gmail完全是一团糟。在这种情况下,它太大了,以至于很容易通过字典攻击找到一个活跃的gmail.com账号。最好的做法就是不要让谷歌那样控制你的联系方式。使用攻击面较小的电子邮件提供商。

乔丹·4月9日,下午2018点02分

在标记之前,点肯定是允许的,还有很多其他的标点符号。

RFC5322及其前辈们对此非常清楚(为了清楚起见,重新排序,注意点原子文本的定义):
地址规范=本地部分“@”领域
local-part = . atom / quote -string / obs-local-part
. atom = [CFWS] . atom-text [CFWS]
点原子文本=1*a文本*(“”。1*ATEXT)
A文本=字母/数字/;可打印US-ASCII
“!”“阿”;不包括字符
“$”/“%”;特价商品。用于原子。
“&”/“”/
“*”“+”/
“-”/“/”/
“=”/“?”/
“^”/“^”/
“”/“{”/
“是”/“}”/
“~”

引用字符串生产添加了一种机制,用于包含所有其他ASCII字符。(非ASCII字符的处理留给读者作为练习。)

事实上,RFC822——现代互联网电子邮件的原始规范——以first.last@registry.org为例。

(本规范不允许两个点相邻出现,使用点原子形式。要使两个点相邻,必须使用带引号的字符串形式。这似乎是不必要的限制。)

谁?·4月9日,2018下午1:18

@Justin.Colmena先生

从技术上讲,不允许在“@”的左侧使用点或句点。在电子邮件地址中,虽然使用了电子邮件地址-黑客和!-在DNS普及之前的那些日子里的路径。

啊,UUCP电子邮件的美好时光。技术上“!”在“@”之前未被使用;实际上没有“@”在UUCP电子邮件系统上,一个UUCP电子邮件地址就像一号!2号!3号!用户名-但通常更长。有时候我想回到互联网的最初几年。那时互联网是文明人的网络。

赖安·4月9日,2018年下午2:15

他收到一封电子邮件,告诉他他的信用卡被拒绝了。修复它,他必须登录Netflix帐户,没有?他猜中密码了吗?

根据top最初的博客,他使用密码恢复功能访问Netflix帐户。老实说,在你把你的信用卡信息输入别人的账户之前,你必须忽略这个场景中的许多警告信号。

只有我·4月9日,2018下午2点40分

等等,什么?

@Z_:如果谷歌曾经区分用户名和user.name的账户是真的,然后在某个时刻开始把它们等同起来,然后,他们显然在现有的名称空间中逆向创建了冲突。不管RFC允许他们做什么,那是一只有骨头的虫子,如果真的是这样的话——一个有严重隐私问题的愚蠢的bug。

彼得鲍顿·4月9日,2018年下午2:44

因为这里的一些人的评论质量非常低而被拒绝。:

这里的问题明确地是Netflix(用于在接受卡详细信息之前不验证帐户)和用户错误*(用于在涉及资金时跟踪电子邮件链接)的组合。
*(特别是错误,不过错因为太多的网站训练人们在不知不觉中变得不安全。)

google对dots的处理方式并不相关——它可能会让它变得更简单,但没有它,同样的技术仍然可以使用。

为了进一步了解乔丹的最新评论,你可以拥有任何电子邮件地址前半部分的可打印ASCII字符。

“@.@”@dotquote.at

是的,这是一个符合标准的地址。从未尝试过测试有多少邮件服务器支持它;它肯定会被很多webapps拒绝…

鲍比·4月9日,2018下午3点07分

基于一些有限的个人经验(带后缀的bsd类型的电子邮件服务器,鸽舍,LDAP、等)这对我来说是非常自然和容易的。

用户帐户可以有别名。所有别名都映射到同一个uid。所有这些别名也充当有效的电子邮件地址。当电子邮件服务器询问“john.smith属于谁”时,答案是"UID 6476,邮件文件夹/some/path/或/other。“当它问“约翰史密斯属于谁?”答案也是“uid 6476,邮件文件夹/some/path/或/other“

我不知道Gmail今天运行的是什么,或者它在过去的日子里发生了什么。但在某些情况下,这似乎是避免“重复”的一种快速而简单的方法账户。如果有人注册了donald.trump@gmail.com,之后是否允许任何人注册donaldtrump@gmail.com?

更好的用户体验似乎是“说不,减少电子邮件发送给错误的人的机会。”我完全同意谷歌为避免“重复”所做的努力。电子邮件地址,我相信这为他们节省了大量的支持工作。可能还提高了总体用户满意度。而不是一个永远持续不断的问题来获取错误的人的电子邮件,或者没有得到你的,人们会对在注册时需要选择不同的地址感到一次性的失望。

所以当创建一个帐户时,服务器可以自动添加所有的点变量作为别名,并称之为一天。没有额外的逻辑或复杂的映射系统来查看是否可以创建新帐户,或者因为“太相似”而被禁止到一个现有的。帐户存在或不存在。实现这一点所需的自定义编码量非常小,与其他选择相比。

但作为避免重复账户的副作用,所有这些点变体现在都自动成为电子邮件别名。不是因为电子邮件别名是预期的功能,但作为“奖励功能”。

这只是理论。我只能推测谷歌和Gmail的具体情况,但我知道有些电子邮件服务器设置可以准确地显示这种情况。也许这就是这里发生的事,也许不是。

@Mervyn Bickerdyke,剂量物质,克里斯

我广泛使用点状的名字。主要是因为我发现加号功能是无用的。通常电子邮件地址是禁止的,因为它有一个+,一些误导的人认为这些是无效的。几次被接受,不管是什么制造糟糕的系统,它们注入的系统似乎都会在接缝处崩溃。

如果人们想制造不遵守RFC标准的噪音,绝大多数对电子邮件地址中完全合法的加号过敏的互联网怎么办?

事实上,虚线名称的变体使我可以更容易地将内容从垃圾邮件文件夹中删除。而且为了黑洞,我需要扔掉一个变种,因为它被误用了,出售,违反,等。我想使用+变体,但我从来没有成功过。

无论如何,为了安全起见,点变化和加号扩展同样有问题。它们都是技术上不同的电子邮件地址,Netflix会将其视为不同的账户,哪一个Gmail将交付给同一个人。

@布瑞恩,Juergen,剂量物质,马克

如果在输入帐户密码之前需要验证,那是理想的。实施得当,这可以确保第三方对正在创建的帐户拥有零控制权。

@Ryan和其他人明白了——这仍然是可疑的,而且还是可以避免的。但尽管如此,网络钓鱼也能起到同样的作用。

网络钓鱼使用伪造的电子邮件来看起来真实,诱骗目标泄露信息。

这使用的电子邮件实际上是真实的,欺骗某人泄露信息。

因此Netflix发送了一封所有权验证电子邮件。吉姆说:“为什么,对,我和Netflix做生意。对,我收到了这封电子邮件。当然,我会点击这个链接让你知道我收到了这封邮件。”而且,堇菜属植物,“验证”。

因此,如果验证发生,问题就不那么重要了,更多关于何时。

@所有

所以让我来问问:如果吉姆从来没有注册Netflix呢?有人仍然可以注册他的电子邮件地址,他们仍然“控制着”因为他们知道密码,而吉姆不知道。

当然,没那么糟。现在吉姆可能在想,为什么那该死的Netflix想和他有任何关系,他根本就没注册过但也许他认为他的配偶用他的账户注册了,把信息放进去。或者吉姆是一个80多岁的人,他害怕电脑警察会来找他,如果他不做这些Netflix电子邮件告诉他的事情。

这些Gmail功能是个问题,当然。这使得一个现存的问题变得更糟。但在我看来,现有问题同样值得解决。解决方案似乎是,在验证电子邮件之前,任何人都可以对任何帐户做的唯一一件事就是…提供电子邮件。没有别的了。没有密码,没有配置文件信息,无付款信息,等。

所以,是啊,我还是得说大部分的错误都在Netflix上。

马歇尔·4月9日,2018下午3点19分

@ Bobby:

“别名映射”总体来说想法不错,但是你的点问题会引起一个巨大的组合爆炸,因为每个帐户的别名数量实际上是无限的。john doe@gmail.com和john………doe@gmail.com都是有效的电子邮件地址,如J.O.H.N.D.O.E@gmail.com所示。

最有可能的是谷歌存储的电子邮件地址没有点和,每当他们遇到包含点的用户名或电子邮件地址时,他们只是把它们剥掉。这样就不需要别名了;周期在系统中是不允许的,只是简单地去掉了。它们可能只存储一次“显示”别名,如果你发现使用句号在视觉上很吸引人,但这可能只是为了展示的目的,我敢打赌在引擎盖下根本没有月经。

尼尔·4月9日,2018下午3点25分

所有这些混乱都会导致“社会工程”

假设你们都知道,但邪恶创造了“john.doe@xyz.com”在尊重差异的服务器上,欺骗别人相信它是“johndoe@xyz.com”的电子邮件地址

什么“正常”,“非技术”用户知道有没有区别?

所有服务器都有明确的规则,和用户

切尔诺·4月9日,2018下午3点45分

这显然是谷歌的错,毫无疑问。原因很简单:
别名邮箱名称,通过忽略嵌入的点,违反净邮件RFC(821和后续任务,在精神和文字上。谷歌创造了这个问题,还有很多其他的,完全出于傲慢(我认为这是傲慢多于无知,我将为他们的团队提供荣誉,因为他们包括非常聪明和有才华的人)。

托尼H·4月9日,2018下午3点56分

如果我必须投票,我想说Netflix有错。不是因为不知道Gmail对电子邮件地址中点的处理,但是使用电子邮件地址作为用户ID。不幸的是,他们现在和世界上的大多数人一样-网站曾经让你选择一个用户名和密码,然后你会给他们一个电子邮件地址(duh)的电子邮件。现在,“你的电子邮件就是你的用户名”几乎总是如此。和* *,imho是这里的根本问题。没有一对一的有效电子邮件地址映射到用户ID,也不应该有。

其他人提到了“附加公约”,这是另一个曾经有用的东西。但是最近,每个网站都使用一个左右的伪造的客户端javascript语法检查程序,这些检查程序拒绝除了字母和数字之外的几乎所有本地电子邮件字符,如果幸运的话,一个点。我试过在心情不好的时候抱怨,而且它很少成功。我试着用电话号码做个类比——一个网络程序员会因为任意拒绝不符合某些虚假标准的号码而侥幸逃脱惩罚吗?说,连续超过两个相同的数字?事实证明,有些网站确实在检查电话号码时语法错误!有时,您可以修改客户端代码以避免它们的语法检查,但越来越多的网站需要对服务器端代码进行双重检查。如果你能找一个真正的人交谈,反对“我们的网站是正确的,所以你必须使用不同的电子邮件地址”的最佳论据就是从你的地址给他们发一封他们拒绝的电子邮件。实际上,所有主流的邮件客户端都做得很好——Gmail,甚至像Outlook或Notes这样的公司产品都可以让你把电子邮件发送到。Bob&Carol+Ted&Alice@example.com但是90%以上的网络前端不会接受。

安全山姆·4月9日,2018年下午4:20

@默文·比克戴克

看来我说得太快了
我在月光下阅读规则
而不是正午时分
用鱼叉进行分析。

回声·4月9日,2018下午4点52分

这种事情是标准的失败和官僚主义的失败。我同意这是谷歌的自大(不仅仅是无知),它有着惊人的品质,最终用户会承担他们错误的代价。从表面上看,它似乎很小,但考虑到aggragate的成本可能会大幅膨胀。通常情况下,除非有人死了,否则什么都不做,那是老的开始调查,必须吸取教训,下次才回复。

如果高层中没有人负有最终责任,我建议我们成立一个委员会来任命成员,然后在6个月内安排一次会议来确定委员会的职权范围。在任命了工作人员并获得新的总部后,安排一次六个月后的会议,以确定调查的参数…

在电子邮件2.0成功发布十年后,我们可以通过一项法律禁止现在,不推荐的和不相关的实践。

鲍比·4月9日,2018下午5点04分

我应该补充一下,我一般赞成友好文章中提出的警告。大多数Gmail用户不知道这些功能的存在。这个警告不会对我造成任何伤害,可能会有一些好处。

@ Marshall

你完全正确。我不认为这是基于平均帐户名长度,但最好考虑一下最糟糕的这里是案例。好电话。

@ Czerno

我怀疑他们是否制造了一个问题,而不是制造了一个更糟的问题。例如,DDOS攻击早已存在,但是各种各样的扩音器使情况更糟。我觉得这有点像那样。除了阻止ddos实际上是不可能的,而Netflix实际上可以关闭核心安全漏洞。

攻击者给受害者“完整”的想法对账户的控制,但不知何故把它拿回来,听起来像是老卡通片里的一钱不值的把戏。我觉得这比Gmail的东西更荒谬,但这只是个人品味。

无论有没有这些Gmail功能,问题都会出现,但这些特性使这种攻击平均更为有利可图。更容易识别目标,这些目标更有可能作出反应,它还能实现一系列原本不可能实现的目标。

现在,也许核心问题还不够大。(强制性xckd:1957)。Gmail让情况更糟。也许更糟的是,可以做点什么。或者Netflix的问题是总是值得担心的是,即使没有Gmail的“放大”。

如果Gmail没有这些功能,Netflix漏洞仍然存在。如果Netflix关闭了漏洞,Gmail是否具有这些功能无关紧要。

亨宁Schulzrinne·4月9日,2018下午5点52分

除了点和大写(在许多情况下,alice@example.com和alice@example.com是同一个人)。域通常有多种方法来联系人。例如,在我的雇主,XYZ10@(某些唯一标识符),首先,last@和xyz@department.institution都使用相同的电子邮件帐户,除了+符号。所有这些都很容易发现和猜测。我怀疑这个技巧对大多数运行sendmail或提供别名电子邮件地址的机构都有效。因此,谷歌“修复”这几乎无济于事。考虑到这个特殊的技巧不需要很多电子邮件地址就可以工作,找到其他域名将允许同样的骗局,即使谷歌不允许点和+符号。

越来越多,公司似乎需要点击“确认电子邮件帐户”链接,所以也许有人意识到,电子邮件地址输入错误,可能是个问题。在允许任何帐户更新之前,可能需要这样做。

Netflix无法发现哪些电子邮件别名实际上是同一个人,所以我怀疑除了新的账户确认书他们还能做什么。

雷鸟·4月9日,下午2018点55分55分

我同意这里明显的错误是Netflix发送了一个不需要认证的URL以及他们的电子邮件。

但是,看看他们的激励和成本是如何排列的:如果他们需要登录,他们可能会失去客户;如果他们不需要登录,他们可能需要稍后退款(但可能不是因为大多数人会在那之前放弃)。

通常情况下,如果将未设计的功能组合在一起,有趣的安全漏洞出现了。互联网基本上是一个结合了每个人的特点的巨大机器,不管他们是否想要…

阿列尔巴布图·4月9日,2018点6:12

只需随机选择16个字符的名字,在他们发现并欺骗你之前,这将是千禧年。

杰瑞米·4月9日,2018下午6点46分

Gmail可能会做更多的工作来通知用户他们自动为他们创建的别名,并给他们一个关闭别名的选项,但这种攻击不需要一个忽略点的电子邮件服务;这样就更容易找到潜在的受害者。(不,设置自动转发从一个电子邮件地址到另一个并不违反一些重要的网络标准。太荒谬了。)

在我看来,主要的错误在于Netflix允许人们使用密码或电子邮件访问一个帐户,而不是至少强制使用其中一个帐户。

当受害者输入他们的信用卡信息时,Netflix假设他们控制帐户是因为他们收到了电子邮件(即使他们没有输入密码)。

当攻击者在输入信用卡后重新控制帐户时,Netflix假定他们控制帐户是因为他们知道密码(即使他们没有演示对电子邮件帐户的控制)。

通过创建两个独立的足以访问帐户的凭据,Netflix允许攻击者在自己和受害者之间分散控制,这就是攻击的根源。

- = -

几张海报暗示,不要求输入密码符合Netflix的经济利益,即使这会降低密码的安全性。这可能是真的。许多潜在的安全措施不值得采取,因为它们会带来不便;也许这里额外的安全措施不值得带来不便。

但这并不能改变Netflix是一个有安全漏洞的公司的事实。根据这个理论,他们也是从不修理中获利的人。所以这绝对是他们的责任。

费米的死去的猫·4月9日,下午2018点50分50分

如果詹姆斯·费希尔不得不使用密码恢复进入账户来设置付款……“EVE”怎么办?以后能回到帐户吗?任何重置密码的尝试都会给…詹姆斯·费希尔发送一条信息。

·4月9日,2018下午8点52分

@主持人

上面的属于星期五鱿鱼,如果你能这么好的话。我搞砸了。

多个标签是我的芭芭罗莎。

dulaku·4月9日,2018点10:12

@Fermi死去的猫

假设Netflix不会在每次发生密码更改时撤销会话,夏娃所要做的就是永远不要清理他们的饼干。

d - 503·4月10日,2018点12:24

@Erik @Martin
我们至少有三个人!
@泽伊
对我和那个德国人来说,听起来也是类似的情况。
@ Bobby
“而不是一个永远持续不断的问题,得到错误的人的电子邮件,或者没有得到你的”
但这正是发生在我身上的事情,也正是由于谷歌的网络缺陷而被同名的德语。我收到的一些给他的邮件非常敏感。几年前我向谷歌抱怨过,他们用样板回答“别担心”消息。

阿迪·4月10日,2018年18点

@默文
报价:GSuite为每个注册用户/电子邮件向您收费,并且可能有一个intrest,不允许在每个邮箱中创建多个电子邮件。引用

相反地,G套件允许您将一个托管域帐户配置为catch all(@example.com)。当电子邮件地址未映射到标准帐户时,允许将此类帐户作为传递方法。您可以在同一个域中同时拥有标准帐户和“全部捕获”帐户。

RFC 5321第2.3.11节。允许使用通配符捕获所有电子邮件邮箱,当用作反垃圾邮件使用的仅接收地址以及在第三方数据库中发生数据泄漏时作为危害指标时,它们非常有用。

我使用的是这样一种“一网打”的配置,它只提供接收地址,可以根据任何服务的要求进行定制,而且我可以当场进行修改,如。[站点名]- [keyword1] -[名称]- [keyword2] @ mydomain),几乎任何要求我提供电子邮件地址的东西。
这样我甚至可以在纸上用笔,在现场编一个独特的电子邮件地址,只是填那张表。
如果该地址开始收到来自其他任何地方的未经请求的邮件,除了它设计的站点,这意味着他们要么把我的数据卖给第三方,要么他们有数据泄漏,欧盟的gdpr对这种使用非常不宽容。根据《全球发展政策报告》的规定,此类违约行为可能导致高达全球年营业额4%或2000万欧元(以较大者为准)的罚款。

Gmail的传统加别名地址不再可用,因为许多网站不允许使用“加”。电子邮件地址中的字符。catch all通配符邮箱对于这一点更为灵活,但您需要有自己的自定义域-它们不能与公共使用的常规域一起使用。

阿迪·4月10日,2018凌晨3点40分

附笔。
除了catch all g套件,还允许您手动为一个帐户定义多个静态别名,但catch all更重要的是I.M.H.O。因为它允许无限的按需动态创建映射到单个电子邮件帐户的地址。

谷歌的用户·4月10日,2018点7分47分

如果电子邮件提供商允许其他人通过添加一个点来注册我的电子邮件,我认为这是一个更大的问题。
如果你注册为name.lastname,google会关心你注册电子邮件地址的方式。然后你必须将dot包含在登录中,这样,如果你将dot随机放置在某个地方,并将dot发送到另一个更符合逻辑的地方(这样你的登录就不会被你发送的电子邮件所覆盖)。

我不认为情况像描述的那样,拥有电子邮件地址(james)的人将收到有关正在创建的新Netflix帐户的所有电子邮件,并可以介入删除该帐户,我不确定Netflix是否需要对电子邮件进行验证,但当信用卡被拒绝时,Netflix肯定会要求James使用DOT登录,以便Eve知道James的密码(这将使整个练习变得无意义),或者JameshFisher获得“拒绝的CredidCard”。注意,他会注意到他的常规密码不起作用,如果这不提醒他,他会要求更改密码,但不会发送到eve!所以詹姆斯只会激活第二个只有他有权访问的帐户!它看起来根本不存在安全风险,对于许多人来说,删除这个功能(和+别名)意味着安全性和隐私性的降低。

谷歌的用户·4月10日,2018上午8点08分

我查过自己Netflix账户的邮件,链接不包含身份验证信息,所以我进入我自己的帐户,或者当我在一个私有窗口打开链接时,我必须输入我的登录名/pwd
这不是骗局。

鲍比·4月10日,2018点8:54

@ D503

当然。我还记得关于德国复制品的各种评论。你们现在都在经历最坏的情况。(如:永远的,你和你的德国混蛋可能会不小心收到对方的电子邮件。)

但我很幸运,我的账户收到了发到gmail.com或googlemail.com的电子邮件,据我所知,今天没有人能用我账户的点变体注册。

所以我相信现在已经被阻止了。但即使如此,很明显,这并不是总能阻止的。对不起,如果我没有暗示的话。

@A谷歌用户

我还认为我需要使用原始帐户名登录,但是我昨天检查过了。令我吃惊的是,我可以用一些随机的点变体登录。

但是对于Netflix身份验证,您是正确的。原始文章中的场景是,受害者必须先重置密码,然后才能输入付款信息。

有人会认为这是一种束缚。受害者现在有了电子邮件和密码所以攻击者大概什么都没有。但正如@dulaku所暗示的,至少有控制Netflix帐户的方法:


  1. 知道密码(您可以登录)

  2. 控制电子邮件(您可以重置密码以获取1)

  3. 有一个现有的会话(您可以做任何事情)

这一利用将充分利用这三个方面。攻击者从这三个开始,给受害者2号,希望受害人自己认领1,然后用#3或其他一些能力把它抢回来。

如果密码更改使现有会话无效,并要求它们输入新密码以继续,在攻击者滥用它之前,这将使他们远离3。

(更早,我还建议a新的帐户只需在输入密码之前验证电子邮件,防止攻击者有1,2,或者是3。但我想这对更改现有的帐号)

@所有

Netflix是否允许一个帐户上有多个电子邮件地址/密码?例如,妈妈,爸爸,孩子们有自己的登录信息,但是妈妈和爸爸都能完全控制账户吗?

如果是这样,这可能是利用这一点的另一种方法。将受害者添加到帐户中足够长的时间以获取付款信息,然后把他们踢出去。

阿兰斯·4月10日,2018上午9点59分

@ D503

几年前我向谷歌抱怨过,他们用样板回答“别担心”消息。

请放心,这位恩人正在为恢复幸福而努力。

谷歌的用户·4月10日,2018上午10点04分

@ Bobby

我也试过了,真的。对于登录也不重要,我不太担心,但很高兴知道。

这是谷歌的网页。
https://support.google.com/mail/answer/7436150

Netflix上只有一个邮箱地址,不同的配置文件不是真正独立的帐户,他们没有真正的安全性,任何人都可以切换到另一个儿童档案有一些选择,年龄限制和固定看到某些内容。

d - 503·4月10日,2018上午10点34分

@费米的死猫科动物@bobby等
“如果James Fisher必须使用密码恢复才能进入帐户设置付款…”
“原始文章中的场景是,受害者必须先重置密码,然后才能输入付款信息。”
正是这样相反的詹姆斯·费舍尔写的。Netflix网站没有要求他为账户页面提供密码或任何其他身份验证。一个巨大的安全失败,但正如@random1和@thunderbird指出的那样,对于Netflix来说,这有商业意义:如果Netflix给用户一点时间来思考它,他们会意识到当地的公共图书馆有更多的电影和节目可供选择,他们可以通过抛弃Netflix节省数百美元。通过这种推理,如果支付更新需要认证,Netflix将失去一半的客户。在有线电视[0]和公共图书馆、YouTube和Vimeo以及视频游戏之间,Netflix有很多竞争对手。
James Fisher只使用密码重置之后他意识到账户页面上显示的信用卡号码是错误的。而且他只使用密码重置来侵入伊芙的Netflix查看历史。
我认为,之所以有如此多的评论者认为詹姆斯·费希尔使用密码恢复的一个原因是不言而喻的理由:“谁[1]会如此不负责任/不道德,以至于让用户账户页面(包括支付信息)在互联网上完全开放?”
James Fisher:
“我点击了链接。它让我登录并带我去“更新你的信用卡或借记卡”页面[2],它是真正托管在netflix.com上的。这里没有网络钓鱼。但是等一下,“更新”佩奇把我的谢绝卡显示为****2745。我不认识的卡号。”

[0]在我居住的城市,唯一的家庭互联网接入是通过有线电视公司,把有线电视和互联网服务捆绑在一起,并不是巧合地成功游说联邦政府扼杀网络中立。
[1]大到不能倒闭的公司?
[2]跟进@dulaku和@a google用户的评论,我想知道Netflix设置和使用cookies的方式是否有什么非常奇怪的地方。但这需要詹姆斯·费希尔犯两个错误,而不仅仅是错误2:
1)允许cookie,但无法在网站之间清除它们
2)在未经请求的电子邮件中单击链接并尝试在其中输入付款信息

雷伊·4月10日,下午2018点25分25分

有趣的是,当我将它用作“功能”时,它被标记为一个漏洞多年来允许我以“不同”的名义注册电子邮件地址,同时有电子邮件到相同的Gmail帐户。基本上允许我注册多个Netflix测试。

X2BiKe4U·4月10日,下午2018点06分

我有一个gmail帐户,格式是na.smith@gmail.com。我已经有很多年了。大约两年前,我开始为一个在澳大利亚的人(我在美国)发电子邮件。她正在使用nasmith@gmail.com。

我开始回复发件人,说我不是那个人,请告诉她我收到了她的邮件,她没有收到,但我仍然收到她的电子邮件。我收到日托发票,旅行路线,足球时间表,生日问候,汽车保养提醒。我从这些电子邮件中了解这个人真是太不可思议了

DrYak·4月10日,下午2018点32分

@Erik:

事实上,直到2012,de是德国的一个完全不同的邮件服务器,与谷歌没有任何关联。

@GoogleMail.com或.de是德国Gmail唯一正确的服务器名称。

所以:可能是“w.essing@gmail.de”曾经Giersch邮件回到过去,但在谷歌成功赢得“Gmail”商标争议后,你收到了这个地址的目的地,因为“压力”地图到“Wessing”对于谷歌,和“Gmail·de”现在映射回“gmail.com”像其他“Gmail.*”一样。而且埃辛先生从不费心在每一个最后的论坛/网站等上升级他的电子邮件。不管他现在用的是什么,都是在吉斯邮报倒闭之后。

马尔基·4月10日,2018下午2时09分

这发生在我身上,除了那个拿着我的电子邮件减去圆点的人,他只是另一个不想占别人便宜的人。我收到他的收据和发票,实际上我收到了他的电话号码,是的,我叫! !他和我一样震惊。他给了我另一封电子邮件,让我把他从未收到的发票发给他。这是关键…我试着打电话给谷歌,但从来没有找到一个好数字,所以我给他们发了邮件。三个月前! ! !仍然没有关于这个问题的答复。我仍然收到其他人的电子邮件,我仍然转发他的重要资料。我只希望谷歌能解决这个问题。我收到这封邮件已经有几十年了,我想……时间够长了,我不记得是什么时候。我知道谷歌还不是动词。但是,我不想经历创建新电子邮件的麻烦。有人有什么建议吗?

拉齐苏珊·4月10日,2018下午2点13分

有趣的是,我有一个原始邮件帐户,在电子邮件地址中创建了一个点,我总是用点来引用它,并假设它是必需的。我刚从另一个帐户发送电子邮件到删除了点的版本,带有原始点的版本加上一个额外的点,以及本地部分带有+和附加文本的版本。三个人都到了我的原邮件收件箱。所以肯定不仅仅是Gmail。

克里斯托弗·4月10日,2018下午2时26分

我没看到谷歌的安全漏洞,但我在Netflix上看到了多重(假设指控属实):

1)Netflix允许有人使用此电子邮件注册,但没有验证,因此,他们一直在向一封不受帐户所有者控制的电子邮件传达有关帐户的信息(并骚扰与他们没有联系的电子邮件所有者)。

2)Netflix允许电子邮件所有者,任何在Netflix和电子邮件接收者之间进行未加密跳跃的人,在没有密码的情况下访问帐户。

3)有人可能会创建一个帐户,并仿冒电子邮件收件人,以更新错误站点上的信用卡信息。

我会注意到,如果谷歌不再允许w.essing拥有wessing,这两个问题都不会得到解决。如果Wessing和W.Essing都没有账户呢?Netflix仍然盲目相信在其网站上输入w.essing@gmail.com的人实际上收到了w.essing@gmail.com的电子邮件。不难确认你网站上输入的电子邮件实际上是发给你的账户持有人的,尤其是当你要问他们的信用卡号码时。我经常收到别人的废话,一些公司(Uber和PayPal马上就想到了)使得关闭账户几乎是不可能的,因为他们在创建帐号的时候从来没有验证过电子邮件。他们将在关闭帐户之前尝试验证电子邮件收件人是否真正控制了帐户。

鲍比·4月10日,下午2018点33分

@ D503

我明白了。也许我误解了原文的这一部分:“…我拥有james.hfisher@gmail.com,所以我可以按照这个帐户的密码重置过程操作。我做到了。”

我把这篇文章读得很普通:“这是我发现有问题的时候”吸引注意力,接着是“回到最开始,按时间顺序讲述整个故事”。所以我假设重置密码发生在早些时候,付款电子邮件稍后才到。在这种情况下,支付URL缺乏认证可能仅仅是因为浏览器仍然记得他以前的Netflix会话,在流氓账户里。

根据你和其他人所说的,世界上任何人都可以使用其中一个链接进入恶意帐户的支付页面。传统的网络钓鱼电子邮件可以将这些链接发送给他们想要的任何人,不管他们使用的是哪种电子邮件提供商。

他们甚至可以被送到确切的现有Netflix帐户的电子邮件地址。这可能比Gmail别名所允许的还要糟糕。主要缺陷是电子邮件必须是普通的网络钓鱼电子邮件,不是真正的Netflix电子邮件。

然而,里面的链接仍然是真实的。更糟的是,Netflix.com/YouracCountPayment页面除了现有的付款详细信息外,没有任何标识信息。信用卡名称“付款已过期”可以消除怀疑,足以让某人输入其他人帐户的付款详细信息。

@ DrYak

谢谢你的洞察力。这当然与这些评论中提到的德国混血儿格格不入。

我想知道这里有没有任何一个拥有Gmail Doppelganger的人可以用“错误”登录他们的Gmail帐户。电子邮件地址。

如果他们能,也许Doppelganger帐户从未存在过,这是某种人为错误。或者,更糟糕的是,Doppelganger的账户曾经存在,但现在它不见了。在这个过程中,你会自动/意外地继承别人的电子邮件地址。

佐罗·4月10日,2018下午4点22分

用吉姆的卡永远免费使用Netflix

不,你联系Netflix并解释发生了什么,他们会解决。如果他们不反对信用卡收费,Netflix会迅速改变自己的程序以避免更多的退款。这种信用卡诈骗经常发生。十年前,我亲眼目睹了国企“万岁”的变种。这只是一个非常古老的犯罪的新皱纹。

哦,以及圆点或加号(e.m.a.i.l+foo@gmail)或其他,这对于自动将电子邮件归档到文件夹中非常有用。我被亚马逊的废柴淹没了,尼韦格还有很多其他的,直到我发现了那个诡计。通过SSL与Thunderbird和IMAP配合非常好!

默文·比克戴克·4月10日,下午2018点32分32分

@ MarkY


这发生在我身上,除了那个拿着我的电子邮件减去圆点的人,他只是另一个不想占别人便宜的人。我收到他的收据和发票,实际上我收到了他的电话号码,是的,我叫! !他和我一样震惊。他给了我另一封电子邮件,让我把他从未收到的发票发给他。

所以…要解决此问题:

*你的邮件减去点仍然是你的邮件
*电子邮件已发送到该地址-您的地址。
*你收到那封邮件了
*另一个人没有收到它,因为它被发送到你的电子邮件中



这是关键…我试着打电话给谷歌,但从来没有找到一个好数字,所以我给他们发了邮件。三个月前! ! !仍然没有关于这个问题的答复。

为什么???

什么问题?

发送到邮箱中的电子邮件地址是一个问题!至少不在谷歌这边。

问题是其他人发送邮件到你的地址,而不是其他人的地址。

别让那个家伙骗你相信那是他的Gmail地址。证据A:你收到了邮件。他没有。

默文·比克戴克·4月10日,下午2018点35分35分

德拉克和博比

gmail.de未映射到任何谷歌电子邮件域。任何发送到该域的邮件在24和48小时后都将导致错误消息。

但是,尝试发送到旧gmail.de地址的人可能会收到该错误消息,然后使用gmail.com重试。

水獭·4月10日,2018点10分33分

詹姆斯·费希尔是这里的弱点,假设布鲁斯准确地引用了他的话。

詹姆斯·费舍尔说,他习惯于把自己的信用卡信息提供给几乎所有索取信用卡的人。詹姆斯·费舍尔说,他不用检查行项目就可以支付信用卡发票。

任何一个钓鱼者都知道每一分钟都有一个笨蛋出生,其中大多数都有电子邮件地址和信用卡。

当然,费雪可能是个菲舍,不知道是否有人会注意到。

CraigC·4月10日,2018点10:42下午

每个人都是如何错过这个所谓的弱点的缺陷的——在这个弱点中没有缺陷。

发邮件的那个人似乎错过了逻辑上的致命缺陷,他必须重新设置密码才能登录NETFLIX账号!

他在自己的岗位上非常明确地表示:

“伊芙可以进入N2账户,因为她在注册时设置了密码,但是我也可以访问这个帐户,因为我拥有james.hfisher@gmail.com,所以我可以按照这个帐户的密码重置过程操作。我做到了。

一旦作者重置密码,他立即将另一个人永久地锁在了账户之外。对方不再知道当前密码,无法重置,因为他们无法访问注册到该帐户的电子邮件地址。他什么都改变不了,因为他回不来了。

这么说之后,我敢肯定,在任何情况下,当他们发送链接时,可能会有其他网站不需要登录或密码重置,但这始终是发送网站安全性的一个缺陷。

意识到可能使用一个gmail地址创建多个帐户是很好的,但这不可能引入任何漏洞。

DrYak·4月11日,2018点8:50

@CraigC:

一旦作者重置密码,他立即将另一个人永久地锁在了账户之外。

事实上,我不确定更改密码是否会自动取消当前登录的会话。

EVE无法使用新的重置密码重新登录。
但Mayber Eve仍然控制着当时已经登录的任何会话。

DrYak·4月11日,2018点8:55

@CraigC:

一旦作者重置密码,他立即将另一个人永久地锁在了账户之外。

事实上,我不确定更改密码是否会自动取消当前登录的会话。

EVE无法使用新的重置密码重新登录。
但是Mayber Eve仍然控制着在此之前已经登录的任何会话。

HFox·4月11日,2018上午9:56

忽略点会给我带来无尽的麻烦,因为似乎有很多人实际上不知道自己的电子邮件地址,而是认为它是我的,但没有点(总是没有点)。我得到了很多有趣的东西,很明显这个人确实输入了地址,所以我知道这不是商场职员的打字错误。

justina.colmena·4月11日,2018上午9点57分

许多基于DNS的营销爆炸头,如SPF,DKIM,和DMALC,由于其随机字符的长序列和通过/失败指示器,这些天来在电子邮件上几乎是强制性的。

其中一些是各种数字签名,还有一个算法可以根据强制的DNS帮助程序垃圾记录检查它们,但在某个时候,太多的爆炸头是垃圾邮件的积极指标,不管它们是否匹配DNS中的垃圾记录。

https://www.therealcnspiracyforum.com/index.php?/topic/2065奇怪消息/&tab=评论评论-14380

小泰德·蒂博多·4月11日,下午2018点55分55分

布鲁斯你让我失望。你的分析太草率了,在我了解的相当多的地方,把你对我不太了解的事情的所有其他分析都放在问题上。

毫无疑问,Netflix的错误在于(1)首先没有验证电子邮件地址,(2)将预认证的账户登录链接发送到未经验证的收件人邮箱。

这两种方法都可以解决这个问题,这并不是因为Gmail忽略了局部的点(他们100%有权这样做,根据RFC5322)。Gmail基本上是将非点拆分变体的所有点拆分变体视为一个邮箱的别名(我们也可以将其视为非点拆分,但可以是任何点拆分变体)。这是完全合法的。

同样合法,即使这不符合詹姆斯·费舍尔的个人品味,而不是+扩展名,他很喜欢。

Netflix在这里有一个明显的漏洞,与任何其他服务一样,这些服务在不验证电子邮件地址是否到达预期收件人/帐户创建者/帐户持有人的情况下盲目接受电子邮件地址。

Netflix通过发送一个预先认证的帐户访问链接,不需要对接收者进行验证。

Gmail没有错,没有失败,没有漏洞,即使是污染/与Netflix问题的结合也不行。

加号·4月11日,2018下午9点13分

诀窍是先在邮件后使用gmail+符号。lastname+some random guid@gmail.com会阻止任何尝试,因为我知道我的netflix登录guid与任何其他服务不同。

托马斯·4月12日,2018点22分

Gmail行为是个人隐私的一个主要缺陷,不是一个默默无闻的人。我的Gmail邮箱通常会收到针对多个其他人的电子邮件,所有人似乎都有@gmail.com电子邮件地址,这些地址与我的相同,除了dot。个人/私人信息的数量令人震惊-包括账单,酒店和机票预订,照片,活动邀请,甚至护照的扫描件,纳税申报等。因为这个原因,我几年前就停止使用我的Gmail账户了。

默文·比克戴克·4月12日,2018凌晨3点54分

@托马斯:

接收发送到该地址的电子邮件并不存在个人隐私缺陷。问题是发送电子邮件时没有发送给预期的收件人。

三朔节·4月12日,2018点7分41分

@默文·比克戴克

不确定我是否理解正确?
所以你说混合人们的账户内容不是个人隐私的缺陷吗?
我说的不是一个人/账户的几个地址,
很明显,(OT)问题是混淆人/账户。

我不是Gmail,但是他们不需要像电话号码这样的个人标识符吗?

投诉后不调查和澄清的是……谷歌。

不可能的愚蠢·4月12日,2018上午9点22分

@小泰德·蒂博多

Gmail没有错,没有失败,没有漏洞,即使是污染/与Netflix问题的结合也不行。

虽然很高兴听到你的谷歌支票被清除了,每一个自以为是的有安全意识的专业人士都会反对你。谷歌控制你的通信不是一个好的商业实践。谷歌控制着这样一个大的帐号的数量造成了巨大的攻击面。那时的谷歌结合这么多删除信息的帐户ID绝对是愚蠢的。

只要阅读这里的评论,人们收到电子邮件的目的是为其他Gmail用户。其中很大一部分可能是简单的输入错误。如果谷歌不取消周期(或者做谁的工作),他们中的许多人就会反弹。知道还有什么)。

这里的首要问题是,谷歌似乎认为它现在拥有电子邮件。这是一个鸡巴。这使得其他企业很难以合理的方式完成工作。像这样的安全问题只是冰山一角。

费米的死去的猫·4月12日,2018上午11时54分

@ D503
谢谢你的澄清,我现在明白了。尽管你提到Netflix希望更新过程尽可能无缝,这对他们来说是一个巨大的失败。

切尔诺·4月12日,2018年下午2:31

重新;谷歌(Gmail)的缺陷[我知道Netflix的Zilch],一些人忽略/不知道的是实际上存在着属于不同人的同名邮箱。悲伤的局面是由Gmail对待嵌入式“点”的方式引起的。在Gmail用户句柄中,在创建新的方框时,然后在方框的生命周期内,其中的细节被改进/改变,或多或少的沉默,在过去的几个月里,Gmail多次保持“beta”,但是在现有/新用户之间创建一个冲突的名称(即,对于某些(可能是小的)来说,点被去掉时是一样的。但用户数量不为空,但这一问题几乎没有被谷歌发现,也没有被谷歌解决,所以它对大多数(未受影响的)用户来说仍然是模糊的,而那些受到影响的人从未得到通知——除非人们意识到他们的邮箱里经常收到的邮件中有一部分是明确地为其他人准备的,他们的把手与自己的把手相碰撞。

这个问题在Gmail最初几个月的论坛上被多次提到,但是谷歌从来没有成功地解决过这个问题。

希望我已经把这一点说得足够清楚了,尽管英语写作能力非常有限。

彼得鲍顿·4月12日,2018下午3点26分

不可能的愚蠢写的:
>只需阅读这里关于人们收到其他Gmail用户的电子邮件的评论。

按照https://support.google.com/mail/answer/7436150?HL=EN
“添加点不会改变您的地址,所以点不是你收到别人邮件的原因。相反,发件人可能输入错误或忘记了正确的地址。”

这里最主要的问题是谷歌似乎认为它现在拥有电子邮件。

谷歌有很多问题,但Gmail将电子邮件地址的本地部分映射到用户邮箱的方式并不是其中之一。他们在这里的行为符合标准。

一个邮箱有多个别名对谷歌来说既不是新的也不是唯一的。


切尔诺写的:
“但是有一个小点/行为改变的错误”(转述)

证明这一点。

按照https://productforums.google.com/forum/!主题/gmail/nwlqfavndks
“Gmail关于用户名中点的政策与产品发布的第一天是一样的。”

这是一条很长的线,很多人都声称问题存在。
没有人提出过证明创建并合并了不同的帐户。
也没有证据表明建立一个账户来接管别人的账户是可能的。
也没有人抱怨账户“丢失”-只有那些收到“别人的邮件”的人并得出结论,这是由圆点造成的。

所有这些都指向地址不正确的消息,不是Gmail问题。

再一次,我站在任何一个指责谷歌诸多缺陷和无能的队伍的最前面,但在这个问题上,没有人对他们表现出任何过失。

切尔诺·4月12日,2018下午4点06分

@彼得·布格顿:
(改变了Gmail的行为,谷歌的否认):他们可能不是真的/虚假的,或者那些说安慰性话语的人不知道他/她在说什么——太夸张了?我在测试版的早期就有几个Gmail账户,我记得这些点的处理方式发生了变化,其中至少有一个具有潜在地,允许创建碰撞箱(自愿,或无意中)。当时唯一的问题是,谷歌会做些什么来补救吗,至少警告受影响的用户(如果有)。很可能他们没有,以“Gmailβ”为借口毕竟,=)


“证明”。
我就长话短说吧——我既不能证明也不能反驳一件事。没有出现/我/曾经是受影响者之一。那是许多年前的事了,那!很难通过挖掘论坛档案来挖掘细节,假设他们还没有被清除。但是,谁在乎?我不使用GMail做任何真正重要的事情;=)YMMV就像他们说的…

硫氧还蛋白·4月12日,2018下午4点46分

问题B是谷歌允许创建多个指向同一邮箱的帐户,而不向用户返回错误或重试消息。

问题C是谷歌使用gmail地址作为服务登录和跟踪令牌。所以他们要么在这个层面上区分b.schneier和bschneier,或者他们将多个用户合并到同一个帐户中。我想知道他们的在线办公套件的用户是否有任何问题…

彼得鲍顿·4月12日,2018年38点

>“很难通过挖掘论坛档案来挖掘细节,假设他们还没有被清除。”

所以谷歌不仅否认了这个问题,而且从互联网上删除了所有的证据?:

更有可能的是,人们误解和/或记错了,但无法接受自己的错误。

如果有证据表明谷歌正在积极掩盖这样的事情,那就太好了,但数百份报告都没有。如果有人能展示一些远程固体的东西,拜托-但我没有屏住呼吸!


(当然,这一切都忽略了布鲁斯在博客中提到的问题并不是[虚构的]共享/劫持Gmail账户,这是关于使用不属于他们的电子邮件地址创建Netflix帐户的人,并且能够生成付款请求电子邮件,而无需首先验证电子邮件的所有者是注册的人。)

不可能的愚蠢·4月12日,2018点8:37

@Peter Boughton

一个邮箱有多个别名对谷歌来说既不是新的也不是唯一的。

你不仅删除了我评论的上下文,但创造了一个草人,了。我从来没有说问题在于别名本身。我明确地指出主要问题是,一家供应商的账户太多,几乎相同的变体在出现打字错误的情况下更容易受到影响,而且他们的废弃点使情况更糟。例如,现在只要输入一个justinetaylor的账户就可以了。他是just.in.tailor公司的一名员工。账户越多,情况越糟;丢弃这些点实际上会丢弃那些可以用来进一步唯一化帐户的位。

标准允许并不重要。重要的是谷歌太大故意减少他们的地址空间。因为其他用户“太大”像Netflix这样的公司将会经历这样的边缘案例漏洞。把它看作是概念的证明;如果不采取措施,预计未来几年类似的变种将成为更大的头条新闻。

不只是萨塞克斯·4月12日,2018年下午10:02

为什么Nelftix要发送验证消息?用户创建一个帐户(和密码)并指定一个格式化的电子邮件地址字符串,为什么,通信偏好?其实不需要。勾选“不,谢谢”框,我会不时登记看看你有没有给我留言(有这样一个盒子,不是吗?).如果在创建帐户时电子邮件不存在或不存在,或者在以后的某个时候,其他人使用时,谁会在意超出妨害的程度呢?

问题似乎是因为Nelftix发送敏感信息,用户通过电子邮件发送的秘密信息。在任何情况下,这似乎都是鲁莽的,因为电子邮件是如此不安全。

所以尼克斯费了一分。

原则上接受慷慨,严格发送,G_del dot collapse感觉有点鲁莽,因为通用服务应该有更多的区别,而不是更少。个别公司也会倒闭。然而,这感觉还可以,因为地址被理解为代表特定的人,而细微的变化应该属于同一个人。

所以,如果违反了古代的神圣计算准则,就得1分。

迈克尔·沃菲尔德·4月13日2018年33点

电子邮件地址的本地部分有许多约定。我写了修正“%”的代码。“smail v3”的黑客几十年前。那次会议,“%”表示“@”在本地部分和本地系统中,然后替换最右边的“%”用一个“@”并重新发送。这是“源路由”以电子邮件形式。有点像“爆炸路径”的背对背形式(UUCP!符号)。那时,榕树的藤蔓解释为“=”签名为空格,因为它们允许用户名中有空格。这些约定都不再被特别使用或支持。RFC一般都有针对性地避开当地的任何法令,除了一些关于扩展的信息。

经典地(和在RFC中)地址“extensions”已采用“+”的形式扩展名(sendmail和postfix)或“-”(qmail)。因为有些白痴网站不允许“+”在电子邮件地址中,我们中的一些行政人员已经求助于“附加条款”中列出的翻译规则。使sendmail等网站同时支持+和。作为扩展分隔符。我的个人系统非常有效地支持所有这三个分隔符,我使用它来检测和避免垃圾邮件。它也用于一些反垃圾邮件的独特电子邮件地址应用程序。

在扩展中,如果本地部分不完全匹配有效用户,扫描本地部分,最右边的扩展分隔符用作终止符,然后递归到本地匹配。所以foo+bar+现在匹配了自己,但如果不是,匹配foo+bar,但如果不是,匹配foo,如果没有失败。与“match.maker”不同匹配“媒人”但我知道在这种情况下,哪里会让人困惑。我还没有遇到这样的情况:分隔符被简单地忽略并像这里描述的那样折叠。

IAC…RFC规则非常具体,电子邮件地址的本地部分由本地系统来解释。如果两个不同的系统对它们的解释不同,不应该怪接收者遵守RFC。

根据我的经验,有很多本地接收MTA以某种形式支持电子邮件地址扩展。比不支持它要多得多,仅仅是发送邮件的优势,后缀,以及*nix服务器上的其他类似服务器(unix,LinuxBSD,等)。

伊利莎恩努比·4月15日,2018下午4点51分

这不是gmail的问题。这是一个典型的网络钓鱼问题。Netflix允许电子邮件中的链接自动登录到他们的网站。一旦他们做出这种安全让步(以减少“摩擦”的名义)商务,我想,Gmail对电子邮件地址的处理并不重要,因为邮件伪造很简单,因此可以发送包含自动登录URL的网络钓鱼邮件,点特征是否存在。

dot功能将传统的网络钓鱼拉到了技术上没有成就的青少年的手上,但这一变化似乎只有对一个歇斯底里的记者才有意义,而不是做真实威胁模型的人。伪造令人信服的HTML钓鱼邮件是一个很低的标准。

解决方案是以某种方式将登录用户包含在站点的加密端点名称中,我指的是传统上显示在URL栏中的绿色“https”之后的内容,用户在提供信用卡信息之前从理论上对其进行检查。登录他人的Netflix帐户类似于i18n欺骗,而域名中的i与l欺骗:与谁知道在哪里的超级加密连接。

用户应该得到这样的反馈:

-这是一个网站,他们在上面创建了一个帐户早些时候
-他们使用之前创建的帐户登录

我建议的反馈功能是HTTPS提示和自动密码存储的组合。自动密码存储需要变成书签或地址簿,作为信任的线索。

u2f解决了网络钓鱼的一半问题,使它不可能意外地证明拥有代理的控制权。通过将登录标识包含在Web源站的用户可见的加密标识符中,可以解决另一半问题。另外一半人甚至在这个新闻周期之前就需要更好的解决。

除了提高第三方网站将客户锁定到一个绝望的谷歌账户的能力外,网站与Gmail就Gmail点功能达成的协议并不能解决任何问题。一个好的安全框架会留下这个“问题”故意未解决。

Driveby Idealogue·4月15日,下午2018点53分53分

@凯-“这是我对谷歌的主要抱怨之一。它们现在足够大,可以随心所欲,忽略它们不喜欢的已发布标准。”

不,在@之前的内容实际上是在@之后的域持有者的域。如果谷歌自动从用户发送的消息的目的地地址中提取点,那你就说对了。但非集中化的关键是,在他们的领域中,什么是在他们的控制之下,应该是这样的。他们也可能有硬编码的政策,禁止用户选择“google.is.fn.evil.as.f@gmail.com”地址。这是而且应该是他们的权利。

不只是Surry·4月15日,2018点10:23

授予rfc和G ? ?木豆的遵守它们,仍然存在的问题是,使用这些标准是否与服务的声明意图相称。标准不仅仅是西蒙说的规则的游戏,但我们的目的是为了提供良好的沟通服务。

myPalabok·4月16日,2018凌晨4点52分

不管这个领域有多先进,总会有愚蠢的人不假思索地输入信息,点击而不思考……

解决办法是解决愚蠢的人。

罗兰吉尔希·4月16日,2018早上6:10

如上所述:

Netflix使用未经身份验证的用户输入的外部ID(gmail地址)作为假定唯一的帐户ID,而不进行验证。

Netflix允许用户在未经用户身份验证的情况下输入敏感的信用卡信息。

还有一些人想把责任归咎于谷歌,或者不承认Netflix对糟糕的安全有过错。

哦…好吧…

戴维·4月16日,2018下午1:58

这显然是Netflix的责任。Netflix的安全性不应依赖于第三方实体的某些行为。如果用户输入vleemdo.blurque.blah@gleemglumglom.ru怎么办?Netflix如何知道和信任电子邮件提供商,gleemglumglom.ru知道吗?

Netflix可以采用一些众所周知的方法来显著降低这种风险,而不依赖于谷歌的做法。

马蒂亚斯·4月20日,上午2018时28分28分

我很失望,似乎没有人对更改帐户电子邮件而不使付款信息无效的能力提出异议。对于我来说,这是Netflix的主要问题。任何可能将帐户控制权转移给其他人的操作都应使付款信息无效。

塞巴斯蒂安·8月2日,2018下午1:24

Netflix安全模式错误。纯链接不应允许任何人编辑敏感信息。任何像样的安全模式在输入高敏感信息(如信用卡)时都应该涉及另一个登录步骤。

这种方式,你应该警惕两件事。第一,一封电子邮件说你的信用卡是合法的或者不再有效。第二个也是最重要的,您应该登录到一个没有正确密码的帐户。在多次尝试登录失败后,你应该被第三次警告,这不是你的帐户。而且,如果你是斯塔伯恩并决定重置密码,您将完全控制另一个Netflix帐户,诈骗者将无法登录。

留下评论

允许的HTML:····

乔·麦金尼斯(Joe MacInnis)为布鲁斯·施奈尔(Bruce Schneier)拍摄的侧栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.