Открытка компании: Mail.ru собрал с пользователей «чайников» логины-пароли для конкурирующих почтовиков?
В "Наноблоге" описан красивый интерфейсно-маркетинговый приём из арсенала веб-сайта Mail.ru. Оказывается в поля ввода логина-пароля на сайте Mail.ru можно ввести данные от любой почтовой службы, необязательно Mail.ru. Сайт возьмёт введённые данные и попробует обратиться с ними к почте на "правильном домене". Если авторизация будет успешна Mail.ru покажет содержимое "чужого" почтового ящика (например ящика в домене yandex.ru или rambler.ru) на собственном сайте, со своим рекламным обвесом.
Пример из "Наноблога", Mail.ru прозрачно авторизовал пользователя на почте в чужом домене:
Автор "Наноблога" пишет:
Пользователь вводит в Mail.ru свою почту в другой почтовой системе (yandex.ru, rambler.ru, или любая другая, поддерживаемая Mail.ru)
Mail.ru понимает, что это явно не аккаунт его сервиса, но сообщение об ошибке не выдает.
Mail.ru проверяет почтовые MX-записи домена, и если узнает запись, то проверяет подходит ли пароль
Если пароль подошел, то Mail.ru автоматически создает аккаунт в своем сервисе и настраивает скрытый сборщик писем, используя логин и пароль от настоящего почтового сервиса пользователя.
Mail.ru авторизует пользователя, и он видит свои письма, ничего плохого не подозревая.
Собственно в этом ничего плохого и нет, по мнению ряда почтовых провайдеров и самого Mail.ru. Функционал нравится и упомянутому в посте "Наноблога" рядовому пользователю. Весьма очевидно, что настроить сбор почты с "внешних ящиков" традиционным методом подобный пользователь "чайник" не смог бы, но Mail.ru понял, как помочь человеку и помог. В описываемом случае пользователь был зарегистрирован на Яндекс.Почте, но "никогда" не видел интерфейсов этого сервиса и входил в Яндекс.Почту исключительно через сайт Mail.ru.
Исключение из правил составляет почта Google — она не отдаёт себя для показа на Mail.ru по вышеописанному сценарию.
6 комментариев | Подписаться на комментарии | Комментировать
Источник: Roem.ru
Похожие новости
- [Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit
- AlinaTen: Сделка между OpenAI и Windsurf сорвалась — глава стартапа уходит в Google
- Kubernetes на базе Deckhouse в облаке Linx Cloud: встроенный мониторинг, безопасность и управление сертификатами
- Без(д)воз(д)мездно, то есть даром
- Настраиваем роутер и WiFi с VLAN в тоннель
- Новости кибербезопасности за неделю с 7 по 13 июля 2025
- Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google