Google - подтверждение электронного адреса Налаштування

[Arbalet]

Пришло сегодня на мое левое мыло письмо с темой "Google - подтверждение электронного адреса" с account-verification-noreply@google.com

Добро пожаловать в Аккаунты Google. Чтобы активировать аккаунт и
подтвердить свой адрес электронной почты, нажмите на эту ссылку:

https://www.google.com/accounts/VE?service=<...>

***ПРИМЕЧАНИЕ*** Распечатайте эту страницу на всякий случай. Ссылка для
подтверждения понадобится Вам, если Вы лишитесь доступа к своему аккаунту
(например, забудете имя пользователя или пароль).

Если Вы получили это письмо по ошибке, очевидно, другой пользователь ввел
Ваш адрес при создании нового аккаунта для другого адреса. Если не нажимать
на ссылку для подтверждения, аккаунт не будет активирован.

Если Вы не запрашивали это письмо, но решили использовать этот аккаунт или
удалить его, Вам нужно сначала изменить пароль аккаунта, указав адрес
электронной почты на странице
https://www.google.com/accounts/ForgotPassw...nue=<...>

Если приведенная выше ссылка не работает, скопируйте URL и вставьте его в
адресную строку в новом окне браузера.

Благодарим за использование Google.

Ответы на вопросы об аккаунте Google и способы решения возможных проблем
описаны в Справочном центре Аккаунтов Google на странице
http://www.google.com/support/accounts/

Это сообщение отправлено в целях уведомления. Ответы на него не
отслеживаются и не
обрабатываются.

Периодически Гмейл проверяет адрес моей резервной почты, но проблема в том, что мыло, на которое пришло это письмо, к резервному адресу не имеет отношения. И спрашивается, какого ? Шо происходит? Какой такой ахтунгдругой пользователь? Мой аккаунт хотят увести?

[nikelong]

Пингуют на предмет "живости" аккаунта?

[Rilian]

Arbalet, кто-то пытался подобрать пароль просто

[Arbalet]

Arbalet, кто-то пытался подобрать пароль просто

Нет, ну ты определенно умеешь успокаивать!

По айпишнику вроде кроме меня никто не заходил

Я решил ничего не жать из ссылок - просто на всякий случай. А какие еще рекомендации будут?

Кстати, вот это мыло, куда пришло письмо, вроде бы на него и пришло когда-то приглашение в гмейл (от ReMMeRа, стати)). Может быть это как-то связано?

[vitalidze1]

Arbalet, фішингова атака, ІМХО

[Arbalet]

Arbalet, фішингова атака, ІМХО

Письмо получается поддельное? В этом что-то есть... потому как вторая ссылка в письме просто до неприличия длинная

[nikelong]

Фишинг - подменный сайт, который выглядит как настоящий.

Здесь же домен гуугл.ком, а не какой то гооогле ком о_0

[Arbalet]

Фишинг - подменный сайт, который выглядит как настоящий.

Здесь же домен гуугл.ком, а не какой то гооогле ком о_0

Короче, ссылка, по которой предлагается пройти, выглядит вот так (15-20 символов убрал на всякий): https://www.google.com/accounts/ForgotPassw...KSGi1J39oiZN1wm<...>UkM_TRPdgBxEmPVw5dde<...>bQ2xXFQe9nfENmoj0wP93062xptCJ0uQzoJtmcR1ZBGIkLOWLvo_Clxqg3tm4udyBakyLi8uL-9ejlIJ_mGB<...>BxdicaxwvsoCGGE9DDrTeiP1mf5x1YCz-YnDY59vZk<...>4QVEbhxCC-T5wd2TskimU66mVS61o%253D%26ltmpl%3Dsso%26next%3Dhttp%253A%252F%252Fwww.youtube.com%252Fwatch%253Fv%253DU5My66HKZi8%2526feature%253Dplayer_embedded%2526has_verified%253D1&followup=http%3A%2F%2Fwww.youtube.com%2Ffinish_ssu&hl=ru-US&service=youtube&skipvpage=true&ltmpl=sso&dEM=<мое>%40<мыло>.

Короче, эта ссылка у мну вызывает подозрения, и тыцать в нее, чтобы проверить - лучше сразу застрелите.

[Rilian]

Arbalet, а нажать самому "на восстановить пароль" и выслать код на запаснгой емейл для сравнения нельзя? имхо письмо стандартно.

по поводу длинны ссылки, в HTTP разрешены до 2КБ

[whynot]

Фишинг - подменный сайт, который выглядит как настоящий.

Здесь же домен гуугл.ком, а не какой то гооогле ком о_0

Короче, ссылка, по которой предлагается пройти, выглядит вот так (15-20 символов убрал на всякий):
убрал вовсе

Короче, эта ссылка у мну вызывает подозрения, и тыцать в нее, чтобы проверить - лучше сразу застрелите.

Как по мне это воняет XSS

• uri --
  
  CODE
  https://www.google.com/accounts/ForgotPasswd
  
  
• query1 --
  fpOnly=1 -- я так понимаю абревиатура (ForgotPasswd)
  
• query2 --
  здвсь некий 'continue'. А вот как это выглядит в развернутом виде:
  CODE
  http://www.youtube.com/finish_ssu?action_create=1&SignupKey=CAYQQinW0IoUIvAmAOa8fIDknA_-ii0YHCpB-HXF8IGFG6pZC8jse9aaGYXZFqw-eAKSGi1J39oiZN1wm

(если это действительно XSS) то тыц, и там (на youtube.com) получают твою сессию. Можно было бы настучать арбуз-тим, но она у гугеля странная (короче, ни одной саксес-стори я не слышал).

по поводу длинны ссылки, в HTTP разрешены до 2КБ

Учи матчасть

p.s. А день только начинается. Предчувствую, что меня сегодня на ОГОтом форуме опять забанять.

[Rilian]

whynot, на ТыТубе юзается аккаунт гугла, и соответственно continue содержит ссылку сразу туда

Учи матчасть

не поверишь, за 6 лет вебдевелопмента не юзал больше ~200-300 байтных GETов. Или ты рекомендуешь все-таки забивать голову бесполезными цифрами (и учить) ?

[whynot]

Угу, для восстановления пароля на гугле, надо смотреть (в поскипаном, есть '?watch=') чивой-то на youtube?

p.s. Ключевое слово 'разрешены'. RFC2616 никак не ограничивает длину URLа. Stop spreading FUD!

p.p.s. Так и вышло. На месяц. Я даже отлогинится не смог.

[Waterfall]

Для тих,хто Googlить і щось розуміє в цьому:
Компанія Google запустила програму винагороди користувачів, які виявили уразливості на її сайтах.
Корпорація Google буде платити інтернет-користувачам, які виявили уразливості на її сайтах. Про запуск програми винагороди користувачів повідомляється в офіційному блозі Google Online Security.У першу чергу компанію будуть цікавити уразливості, які дозволяють отримати доступ до особистих даних користувачів на найбільш популярних сайтах. Як приклад Google призводить власний сайт google.com, а також youtube.com та інші.
У блозі особливо обмовляється, що при пошуку вразливостей користувачі повинні задіяти тільки тестовий або власний обліковий запис. Також представники Google попросили не використовувати автоматичні системи виявлення вразливостей, щоб не спровокувати перебої в роботі онлайн-сервісів компанії.
Розмір базової винагороди за виявлену уразливість складе 500 доларів. Однак він може збільшитися до 3133,7 долара в залежності від ступеня важливості окремо взятої уразливості. Відзначається, що на подібні винагороди претендують і користувачі, які виявили уразливості в проектах Google Chromium.
Відповідна програма винагороди була запущена в січні 2010 року
http://tsn.ua/nauka_it/google-bude-platiti...ah-pomilki.html