Oчередное изменение протокола ICQ компанией AOL Налаштування

[ReMMeR]

http://forum.qip.ru/showthread.php?t=6934

Внимание! Версию 7980 пришлось выпустить немного раньше времени. Причиной ускоренного выпуска являются случайно обнаруженные автором qip последствия уязвимости на серверах ICQ.

Дело в том, что на любую учетную запись icq каким-то образом стало возможно привязывать email адрес для подключения, при этом, пароль от самой учетной записи не требуется. Обратите внимание, что эта привязка email адреса только для подключения и она никак не влияет на основной email адрес, необходимый для системы восстановления пароля. Становится очевидным, что те, кто нашли уязвимость, тщательно это скрывают и пытаются как-то дальше её использовать пока не получат доступ к избранным номерам icq. В случае если им это удастся, то скорее всего могут пострадать пользователи коротких учетных записей.
Привязывание email адреса к номеру icq было придумано разработчиками ICQ для удобства, так как вместо номера можно просто вводить email адрес и пароль. Но данным привязыванием пользуются еще локализованные сервисы ICQ, такие как Rambler ICQ, Bigmir.Net и прочие. Есть версия, что привязка email адреса осуществляется как раз через уязвимость в локализованных сервисах.
Чтобы посмотреть привязали к вам email для подключения или нет, то воспользуйтесь новой версией QIP 2005 Build 7980, подключитесь, откройте окно со своими данными, откройте вкладку Дополнительно/Информация (там, где указаны ваш статус, версия протокола и прочее) и если к вашей учетной записи привязан email, то вы увидите там же «Email для подключения». Если email адрес не ваш, и вы не хотите чтобы он также оставался прикрепленным, то вам придется один раз воспользоваться локализованной версией ICQ5 (icq.bigmir.net, icq.rambler.ru) для того чтобы заменить email на свой. Там достаточно будет пройти процесс регистрации со своим номером и получить email адрес от rambler или bigmir.
Поскольку не ясно с каких пор, где и каким образом эксплуатируется уязвимость, то и уровень ее опасности тоже неизвестен, но исходя из того, что фактически параметры вашей учетной записи могут изменять без вашего ведома и не имея пароля, то можно отнести ее к критической.
Учтите, что официальные клиенты ICQ вам не покажут привязанный email, вы его можете увидеть только используя QIP 7980.
Об обнаружении уязвимости было сообщено в службу поддержки ICQ, насколько быстро она будет устранена - неизвестно.

Рамблер изменяет пароль аськи. Бигмир этого не умеет.
Особенно обратите внимание обладатели "Вкусных" - коротких номеров. Также на форуме квипа говорят о попытках ахвата самых обычных длинных номеров, казалось бы, никому не примечательных.

[nikelong]

Мысли вслух

После недавних падений аськи, когда новые сборки QIPа появлялись как грибы после дождя возникла пара вопросов... если честно они были и раньше, но как-то не особо задумывался.

Вопрос 1 ... зачем квип отправляет пароли от учеток на свой сервак? От всех учеток. ICQ, мейл-агент и т.п. Это можно отключить в опциях, но по умолчанию при первом запуске все ваши личные данные летят на сервак квипа. Зачем квипу пароли и другие данные от моих учеток?

Вопрос 2 ... на кой квипу мои файлы? Квип передает файлы через свой сервис файлообмена (отросток 4share). По умолчанию файлы летят на сервак квипа, а потом адресату приходит ссылка. Косметическое неудобство - это бесит, когда кидает папку фоток а адресату приходит туева хуча ссылок на страницы где еще надо клацать чтоб посмотреть оригинал. Не косметическое неудобтво - читай вопрос. Меня прекрасно устраивает P2P обмен. Передачу на обменник можно отключить в опциях, погуглив на предмет вопроса где находится волшебная стрелочка, но только на первый взгляд. Если адресат в инвизе, то пофиг отключена опция или нет - файл полетит на сервак квипа. Без всякого уведомления пользователя.

Вопрос 3, который вылезает из двух предыдущих... откуда у разработчика программы, которая на каждом углу кричит о том что в ней нет рекламы, деньги на программистов, которые не спят, ибо обновления после падения аськи выходят мгновенно, деньги на разработку, на пиар своего продукта, и, наконец, на немаленький файловый хостинг, предоставляющий каждому пользователю 4 гига места?

Вопрос 4 ... не вполне подтвержденный, но по стилю ответо разрабов на офф форуме, не снятый с повестки дня - на кой квипу делать скриншоты? Я понимаю, что при ошибке и составлении лога софтина может снимать скрин для отправки разрабам. Но квип и так прекрасно выпускает новые билды, стоит только аське сдохнуть. Опять же, вопрос не вполне подтвержденный, но все-таки, на кой эти скриншоты?

by Afftamat

http://ogo.in.ua/forums/viewtopic.php?p=162866#p162866