Di êvara 10ê Adarê de, karûbarê piştevaniya Mail.ru dest bi wergirtina giliyan ji bikarhêneran kir ku nekarîn bi bernameyên e-nameyê bi serverên Mail.ru IMAP/SMTP ve girêbidin. Di heman demê de, hin girêdan derbas nebûn, û hin jî xeletiyek sertîfîkayê nîşan didin. Çewtî ji ber ku "server" sertîfîkayek TLS-ya xwe-îmzakirî dide der.
Di du rojan de, zêdetirî 10 gilî ji bikarhêneran li ser cûrbecûr toran û bi cûrbecûr cîhazan hatin, ku ne mimkûn e ku pirsgirêk di tora yek pêşkêşker de be. Analîzek berfirehtir a pirsgirêkê diyar kir ku servera imap.mail.ru (herweha server û karûbarên din ên nameyê) di asta DNS de têne guheztin. Zêdetir, bi arîkariya çalak a bikarhênerên xwe, me dît ku sedem têketinek nerast e di cache routerê wan de, ku di heman demê de çareserkerek DNS-ya herêmî ye, û ku di gelek (lê ne hemî) bûyeran de derketiye holê ku MikroTik e. cîhaz, di torên pargîdaniyên piçûk û ji pêşkêşkerên piçûk ên Înternetê de pir populer e.
Pirsgirêk çi ye
Di îlona 2019 de, lêkolîner
Eşkere ye ku ev pirsgirêk niha bi awayekî aktîf “bi zindî” tê bikaranîn.
Çima xeter e?
Êrîşkarek dikare tomara DNS-ê ya her mêvandarê ku ji hêla bikarhênerek li ser tora hundurîn ve hatî gihîştinê bixapîne, bi vî rengî seyrûsefera wê bigire. Ger agahdariya hesas bêyî şîfrekirinê were veguheztin (mînak, li ser http:// bêyî TLS) an jî bikarhêner razî bibe ku sertîfîkayek sexte qebûl bike, êrîşkar dikare hemî daneyên ku bi girêdanê ve têne şandin, mîna têketinek an şîfreyek, bistîne. Mixabin, pratîk destnîşan dike ku ger bikarhênerek derfet hebe ku sertîfîkayek sexte qebûl bike, ew ê jê sûd werbigire.
Çima serverên SMTP û IMAP, û bikarhênerên çi xilas kirin
Çima êrîşkaran hewl dan ku seyrûsefera SMTP/IMAP ya serîlêdanên e-nameyê, û ne seyrûsefera webê, tevbigerin, her çend piraniya bikarhêneran bi geroka HTTPS-ê digihîjin e-nameya xwe?
Ne hemî bernameyên e-nameyê ku bi riya SMTP û IMAP/POP3 dixebitin bikarhêner ji xeletiyan diparêzin, nahêlin ku ew têketin û şîfreya xwe bi riya pêwendiyek ne ewledar an lihevkirî bişîne, her çend li gorî standardê be.
Dibe ku gerok li hember êrişên Man-in-the-Middle hinekî çêtir werin parastin. Li ser hemî domên krîtîk ên mail.ru, ji bilî HTTPS, polîtîkaya HSTS (ewlehiya veguhestina hişk a HTTP) çalak e. Digel ku HSTS çalak e, gerokek nûjen vebijarkek hêsan nade bikarhêner ku sertîfîkayek sexte qebûl bike, hetta ku bikarhêner bixwaze. Digel HSTS-ê, bikarhêner bi vê yekê xilas bûn ku ji sala 2017-an vir ve, serverên SMTP, IMAP û POP3 yên Mail.ru veguheztina şîfreyan li ser pêwendiyek ne ewledar qedexe dikin, hemî bikarhênerên me ji bo gihîştina bi SMTP, POP3 û IMAP TLS bikar anîn, û Ji ber vê yekê têketin û şîfre tenê heke bikarhêner bi xwe razî be ku sertîfîkaya xapînok qebûl bike, têketin û şîfre dikare were girtin.
Ji bo bikarhênerên mobîl, em her gav pêşniyar dikin ku ji bo gihîştina e-nameyê serîlêdanên Mail.ru bikar bînin, ji ber ku ... xebata bi nameyê di wan de ji gerok an xerîdarên SMTP/IMAP-ê yên çêkirî ewletir e.
Divê çi bê kirin
Pêdivî ye ku firmware MikroTik RouterOS bi guhertoyek ewledar nûve bike. Ger ji ber hin sedeman ev ne mumkin be, pêdivî ye ku seyrûsefera li ser porta 8291 (tcp û udp) were fîlter kirin, ev ê karanîna pirsgirêkê tevlihev bike, her çend ew ê îhtîmala derzîlêdana pasîf di nav cache DNS de ji holê ranebe. ISP divê vê portê li ser torên xwe fîlter bikin da ku bikarhênerên pargîdanî biparêzin.
Hemî bikarhênerên ku sertîfîkayek veguheztin qebûl kirin divê bilez şîfreya e-name û karûbarên din ên ku ev sertîfîka ji bo wan hatî pejirandin biguhezînin. Ji aliyê xwe ve, em ê bikarhênerên ku bi navgîniya amûrên xizan ve digihîjin e-nameyê agahdar bikin.
PS Di heman demê de qelsiyek têkildar jî heye ku di postê de tête diyar kirin
Source: www.habr.com