Google account authentication

Я вот думаю, почему бы гугл не сделать возможность задавать разные пароли для разных сервисов в рамках одного аккаунта? А то всё завязано на один аккаунт, что здорово, но риски большие. Особенно если проверяшь почту или читаешь ридер за не самом безопасным компьютером.

Интернет безопасность, продолжении истории с Моим Кругом Яндекса

История с дырой безопасности в сервисе Яндекса Мой.Круг закончилась такой вот незатейливой припиской в письмах:

«

Обратите внимание: для Вашего удобства робот Моего Круга вставил в это письмо ссылки, через которые можно напрямую зайти в Ваш профиль без ввода пароля и получить полный доступ к нему. Будьте аккуратны при передаче текста третьим лицам — например, не пересылайте это письмо (вместе со ссылками в нем) другим людям и не вставляйте его текст в блоги, форумы и чаты.

»

Очаровательно.

Дыра в безопасности сервиса Яндекса МойКруг

Обнаружил сегодня совершенно случайно огромную дыру в безопасности самой популярной в России социальной сети профессионалов MoiKrug.ru.

Если пользователь «А» приглашает пользователя «Б» присоединиться к 1-му кругу, то пользователю «Б» приходит текст приглашения на электронную почту и в этом же письме содержится ссылка «Принять решение и рассмотреть подробности», которая собственно и ведёт на страничку на сайте, где можно принять решение о том, вступать в круг или нет. Разумеется, на это электронное письмо, как и на любое другое можно ответить, например, через Reply-to и многие интернет пользователи делают это по привычке с цитированием. Так вот пользователь «А» получив такой ответ с цитированием, может кликнуть по той ссылке, приготовленной для пользователя «Б» и беспрепятственно попасть на сайт будучи залогиненным под пользователем «Б» и может изменять его личные данные и т.д.

Как только заметил, написал в саппорт, оттуда ответили, что о проблеме знают и что она уже решена. Не знаю, как у вас, а у меня всё работает в прежнем режиме.

Несерьёзно, уважаемый Яндекс, ловите камень в свой огород.