Комментарии 36
Если это баг/дырка, то тебе ответят, если это нормальный технический процесс, например синхронизация (сейчас ведутся разработки по внедрению технологии которая синхронизирует что-то с гмейл) и возможно они тестируют втихоря.
Учитывая количество пользователей, я не уверен что эту дырку еще не нашли. а вообще хабр не лучший метод решения подобных вопросов
Учитывая количество пользователей, я не уверен что эту дырку еще не нашли. а вообще хабр не лучший метод решения подобных вопросов
Была подобная трабла с месяц назад. Не стал разбираться и писать, некогда было. Просто сменил пароль на гугле и запретил триллиану мыло проверять.
Мне кажется, что разработчики триллиана специально выбрали стратегию проверки Вашей почты со своего хоста.
Сейчас обьясню:
если вы сохраняете пароль в программе-клиенте, и она с Вашего компьютера ходит (pop3 или imap) проверить «есть ли новая почта», то никакой активности с других адресов гмыло и не покажет.
А если у Вас компьютеров больше чем один?
Что делать? Синхронизировать пароль от гмыла на всех компьютерах и хранить его во всех программах-клиентах? А если вы пользовались триллианом на общественном компьютере? Оставлять пароль от почты и на нём?
Я думаю, разработчики решили, что хранить пароль от клиентской почты будет безопаснее в одном месте — у себя, а не по всем установкам триллиана, которыми пользовался клиент.
И проверка новой почты идёт с узлов триллиана, а триллиан-клиент у Вас на компьютере узнает о новой почте не непосредственно от серверов гугла, а от серверов триллиана.
Поэтому и видна «левая» активность в почте, и поэтому Ваш пароль и хранится в каком-либо виде у триллиана.
Ну и на всяких случай напомню — это всего лишь мое скромное мнение, чем на самом деле руководствовались разработчики новой фичи триллиана — мне абсолютно неизвестно.
Сейчас обьясню:
если вы сохраняете пароль в программе-клиенте, и она с Вашего компьютера ходит (pop3 или imap) проверить «есть ли новая почта», то никакой активности с других адресов гмыло и не покажет.
А если у Вас компьютеров больше чем один?
Что делать? Синхронизировать пароль от гмыла на всех компьютерах и хранить его во всех программах-клиентах? А если вы пользовались триллианом на общественном компьютере? Оставлять пароль от почты и на нём?
Я думаю, разработчики решили, что хранить пароль от клиентской почты будет безопаснее в одном месте — у себя, а не по всем установкам триллиана, которыми пользовался клиент.
И проверка новой почты идёт с узлов триллиана, а триллиан-клиент у Вас на компьютере узнает о новой почте не непосредственно от серверов гугла, а от серверов триллиана.
Поэтому и видна «левая» активность в почте, и поэтому Ваш пароль и хранится в каком-либо виде у триллиана.
Ну и на всяких случай напомню — это всего лишь мое скромное мнение, чем на самом деле руководствовались разработчики новой фичи триллиана — мне абсолютно неизвестно.
в gmail'e нет проблем с постоянной проверкой почты с разных ip
проверно на 4-5 разных ip в течении последних 2х лет
проверно на 4-5 разных ip в течении последних 2х лет
вполне логично, вот только для этого пароль хранить не надо. Для этого есть OAuth. Но если бы он использовался, врядли бы выскочило предупреждение.
Дык зачем им нагружать свои сервера проверкой почты и потом отсылать это всё кдиенту. Не легче хранить пароль, его передавать клиенту и сам трилиан пусть дёргает уже почту.
Digsby так и делает и никто не жаловался.
Digsby так и делает и никто не жаловался.
По моим наблюдениям:
Да, триллиан хранит пароли на своем сервере (для синхронизации на других машинах). Достаточно ввести мастер-пароль (для акка Astra в данном случае. Акк QIP в случае с QIP).
QIP точно хранит пароли на всех машинах, где я вводил мастер-пароль. Даже если я там один раз логинился под учеткой qip — он скачает все пароли. И в следующий раз при невозможности подключиться через qip, он успешно залогинится на icq, gmail и т.п.
Подозреваю, что в триллиане — так же, но не могу точно сказать.
Если бы клиент каждый раз проверял почту с серверов триллиана, которые в свою очередь, проверяли бы на gmail'e — я бы получил явно не единичный случай их IP в списке, заходящих на gmail, т. к. подключаюсь много раз за день.
То есть он точно хранит все пароли на своем сервере, и передает их клиенту либо каждый раз при подключении (и клиент их не хранит у себя), либо один раз при первом подключении (клиент, соответственно — хранит их).
Я не против того, чтобы он хранил их у себя. Мне даже так удобнее.
Я просто не могу понять, зачем он их использует со своих IP.
Единственное объяснение — в первом комменте, что они там что-то разрабатывают и втихоря тестят. Но я об этом не знаю почему-то. Образно говоря, они пришли ко мне в дом, посмотрели, а на мой вопрос «зачем?» сказали, а мы тут измеряем кой-чего, чтобы вам новый шкаф удобный потавить. А точнее — не ответили вообще ничего.
Для этого есть Oauth. Ничего бы не было, если бы триллиан использовала строго его.
Да, триллиан хранит пароли на своем сервере (для синхронизации на других машинах). Достаточно ввести мастер-пароль (для акка Astra в данном случае. Акк QIP в случае с QIP).
QIP точно хранит пароли на всех машинах, где я вводил мастер-пароль. Даже если я там один раз логинился под учеткой qip — он скачает все пароли. И в следующий раз при невозможности подключиться через qip, он успешно залогинится на icq, gmail и т.п.
Подозреваю, что в триллиане — так же, но не могу точно сказать.
Если бы клиент каждый раз проверял почту с серверов триллиана, которые в свою очередь, проверяли бы на gmail'e — я бы получил явно не единичный случай их IP в списке, заходящих на gmail, т. к. подключаюсь много раз за день.
То есть он точно хранит все пароли на своем сервере, и передает их клиенту либо каждый раз при подключении (и клиент их не хранит у себя), либо один раз при первом подключении (клиент, соответственно — хранит их).
Я не против того, чтобы он хранил их у себя. Мне даже так удобнее.
Я просто не могу понять, зачем он их использует со своих IP.
Единственное объяснение — в первом комменте, что они там что-то разрабатывают и втихоря тестят. Но я об этом не знаю почему-то. Образно говоря, они пришли ко мне в дом, посмотрели, а на мой вопрос «зачем?» сказали, а мы тут измеряем кой-чего, чтобы вам новый шкаф удобный потавить. А точнее — не ответили вообще ничего.
Для этого есть Oauth. Ничего бы не было, если бы триллиан использовала строго его.
Скачал их клиент, увидел, что где-то надо регистрироваться еще — понял, что какая-то темная штука и забил на нее.
ну да, гораздо интересней на каждом новом компьютере вводить все пароли от соц. сетей, мыл, асек и скайпа
гораздо интересней если регистрацию сделают через Гуглоайди и запросят OAuth доступ к необходимым сервисам
У меня не очень много новых компьютеров. Вот уже год ни одного: для всех задач пользуюсь ноутбуком.
А у меня два компа, и куча учеток — мне удобно один раз зарегистрироваться и использовать удобный клиент с синхронизацией. QIP делает то же самое. Если они просят доп. регистрацию — это, конечно, не очень приятно, но не значит, что это «темная штука».
Ну, вообще говоря значит. Вы же отдаете им пароли (тут я кстати не до конца уверен, но вроде так). А что вот они с ними делают? Вы не знаете. В статье приведен пример потециально несанкционированного использования Ваших учетных данных.
А вообще можно использовать какой-нибудь менеждер паролей.
А вообще можно использовать какой-нибудь менеждер паролей.
Я имел ввиду, что сама по себе регистрация — не показывает его сущности «темной штуки». То, что я им отдаю пароли — уже, да, может/должно насторожить.
Менеджер паролей — тоже, скорее всего, будет либо с дополнительной регистрацией (иначе как им где-то хранить пароли?) либо без синхронизации, что по крайней мере мне, неудобно. Как вариант синхронизировать тогда через дропбокс — но по сути оже доп. регистрация. Таскать на флешке портабл? Тоже далеко не всегда удобно. Тем более давненько отвык от них при повсеместных хороших скоростях инета.
Менеджер паролей — тоже, скорее всего, будет либо с дополнительной регистрацией (иначе как им где-то хранить пароли?) либо без синхронизации, что по крайней мере мне, неудобно. Как вариант синхронизировать тогда через дропбокс — но по сути оже доп. регистрация. Таскать на флешке портабл? Тоже далеко не всегда удобно. Тем более давненько отвык от них при повсеместных хороших скоростях инета.
Мененджер паролей можно носить на флешке с собой.
Плохо прочитал Ваш комментарий :) В общем и целом — я думаю, что системы, подобные Трилиану или КвИПу — зло и доверять пароли им не надо. По поводу дропбокса — там там вроде все довльно прозрачно. Суть не в дополнительной регистрации, суть в сохранности Ваших-же учетных данных.
QIP — да, у них не все очень чисто с безопасностью.
Надеялся, что в триллиане получше, а оказалось, показалось.
Ну, я не бью тревогу, ничего именно плохого не произошло, просто подозрительное — и смотрю теперь на него с опаской. Но, пока его удобства для меня перевешивают над прочим.
Надеялся, что в триллиане получше, а оказалось, показалось.
Ну, я не бью тревогу, ничего именно плохого не произошло, просто подозрительное — и смотрю теперь на него с опаской. Но, пока его удобства для меня перевешивают над прочим.
К дропбоксу — претензий вроде нет, активно использую и чтобы не таскаться с флешкой, а сразу заливать что-то на рабочий комп, например, и ставить удаленно ставить торренты на закачку, и для синхронизации хистори в триллиане том же. Кстати тут у нее (триллиана) тоже не очень хорошо (хранит в текстовом формате — любой может прочитать, найдя в папке), даже qip шифрует их, и чтобы почитать чужое недостаточно просто найти папку, а надо еще и скопировать к себе в профиль, открыть qip и найти нужное в списке оффлайн-контактов. Тут не каждый догадается.
писал я как-то на гугловском форуме о необходисмоти раздельных паролей для gtalk и почты…
www.google.com/support/forum/p/Talk/thread?fid=1d868968a22fef840004784f41b04aa3&hl=en
год назад было… как видим гуглям это не интересно… как же потом на злых китайцев свалить утечки паролей…
www.google.com/support/forum/p/Talk/thread?fid=1d868968a22fef840004784f41b04aa3&hl=en
год назад было… как видим гуглям это не интересно… как же потом на злых китайцев свалить утечки паролей…
qip infinum по умолчанию тоже сохраняет все пароли и явки от всех ваших аккаунтов у себя
То что, алерт не выдало сразу — это нормально. Алерт срабатывает по каким-то жутко хитрым алгоритмам, в том числе чтобы минимизировать ложные срабатывания. Также алерты не показываются в подозреваемых сессиях.
Скорее всего пароль используется в исключительно в процессах необходимых в работе мессенджера, но они, конечно, выбрали не самый удачный путь для этого.
Мой совет: сменить пароль, перестать пользоваться этим мессенджером до выяснения обстоятельств, больше не париться
Скорее всего пароль используется в исключительно в процессах необходимых в работе мессенджера, но они, конечно, выбрали не самый удачный путь для этого.
Мой совет: сменить пароль, перестать пользоваться этим мессенджером до выяснения обстоятельств, больше не париться
Триллиан тоже хранит пароли в профиле на сервере.
Супорт их отвечает, по крайней мере мне отвечали.
Супорт их отвечает, по крайней мере мне отвечали.
А меня это не пугает. Гораздо страшнее выглядит наш QIP с сохранением всего и всюду, включая историю сообщений…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Trillian IM и безопасность Gmail