网易邮箱会劫持 Apple ID 验证邮件
source link: https://www.v2ex.com/t/841639
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
前面已经被这个垃圾坑过一次,清理了一次银行信用卡账单等重要账户绑定,改成了其他邮箱。没想到在 Apple ID 上还是翻车了。
这次 Apple 要重新验证账户,选了邮箱验证,用的也是网易自家的邮件大师接收的,居然强制要求 Web 登陆,不知道是什么样的脑回路想出这样的业务逻辑,没有十年脑血栓搞不出这样的风控措施。下次估计强制要求手机 App 登陆什么妖蛾子都给你整出来。
回复估计也有说为了安全考虑的,其实也没必要,历史上网易邮箱就不知道被脱了几次裤子了,现在是你的 Web ,你的 App ,你的桌面应用反正都是你自家的,还提示安全什么的,呵呵。现在真不知道是你自己的桌面客户端更安全,还是你的 Web 页面更安全,还是你的手机邮件大师 App 更安全。而且我也没看微软 Outlook ,Protonmail 什么的三天两头要你装这个,绑定那个,真心就是垃圾,不用洗也没得洗。
而且撇开安全不说,网易肯定是扫我这封邮件内容了,我真谢谢你。
dingwen07 22 小时 23 分钟前
但是要求用网页版登录应该只是为了防止那种解激活锁的奸商
毕竟强制网页没有什么利益
绝大多数邮件提供商为了反垃圾都会扫描邮件,你要不用 GPG S/MIME 不然真没办法
当然“劫持”邮件内容太容易引起争议了,就算要做也应该是 SMTP 不返回这封邮件,并在第一次触发的时候给用户发邮件提醒,绝对不应该篡改邮件内容。
shijingshijing 22 小时 22 分钟前
Damn 22 小时 15 分钟前
结果因为我绑定的 GV ,提示发送频繁还是超出限制来着,不给开启。
skiy 22 小时 7 分钟前
客户端用网易大师还不如用阿里邮箱。
---
另外,目前正在将邮件绑定的账号改绑到个人邮箱。对互联网服务的保障性有点担心。当然,域名也有可能被停止解析,但可控。
Yahoo 邮箱把中国大陆 IP 注册(或登录)的邮箱还是简体中文注册的邮箱一刀切,关停了。gmail 都没有这么干。
skiy 19 小时 31 分钟前
SpaceVim 18 小时 4 分钟前
nbndco 17 小时 30 分钟前
网易的安全么,过去可以说是没有(现在就不知道了),被拖了多少次库也不知道了(一个明文存密码的公司,安全肯定是完全没有的),所以当年是有一大堆 iPhone 用网易邮箱当 Apple ID 被锁的例子的(先用网易邮箱找回 Apple ID 密码)。所以网易就逼着不得不做二次验证,但是 imap/pop3 肯定是没法二步验证的,所以当年还全部禁用过,想要重新登陆必须手机验证+改密码。估计现在网易也没缓过来,所有的关键邮件就全部都要通过能够二步验证的手段。
lecia 17 小时 13 分钟前
shijingshijing 16 小时 43 分钟前
nbndco 16 小时 33 分钟前
skiy 16 小时 22 分钟前
谁知道呢,“万一”这事,挺难讲的。假如冲突加剧,谁知道会不会有下一波制裁。而且如果被相关政客注意到,企业也是没办法不做的吧。
再者,假如俄罗斯被切断西方互联网了,那也 GG 了。未雨绸缪吧。假如因政治原因,域名被域名商 hold 了,还能去跟 ICAAN 申诉。
archean 15 小时 22 分钟前
我认为大概是这样的逻辑:考虑到你看邮件时可能在第三方客户端里,或者用类似 POP 等通用协议下载的邮件,所以只能给一个它认为最安全的查看途径。
楼上也有人说了,这样做其实没有什么好处,所以从这件事上来说,网易邮箱应该不是在作恶。
jim9606 15 小时 10 分钟前 
3
因为担心下发的邮箱验证码直接推送到被盗的 iphone 上了,即使是自家的邮件大师也没法控制推送是否一定不会把正文内容显示在锁屏通知上,小偷可能可以通过恶意重设 apple id 解除 iphone 锁机。Web 版至少保证不会把正文暴露在锁屏通知上。
网易肯定要扫你的邮件内容的,至少反垃圾反病毒需要这个吧?而且使用协议肯定有约定。?顺带一提 Gmail 也这么干。
而且图里这个其实是网易给你发了一封特殊的邮件,至少发件人是网易不是 Apple ,原始邮件并没有丢失。
另外,这算是说明了不能拿邮箱+手机当成 2FA 验证的原因,这些所谓的多因子很有可能都等于手机这一个因子,例如手机验证码+邮箱验证码(但可以用手机验证码登录)=手机单一因子。
TossPig 14 小时 21 分钟前 3
手机号不说了,成本内只有用三大运营商的
但邮箱这种东西,还是用域名邮箱靠谱,国内外厂商没个是干净的
我现在的方案是
一个 com 的域名一年也就六七十块钱,随便挂靠一个服务商,现在挂的 google apps ,前段时间说要收回,现在有没消息了。要跑的时候,直接改解析,再换一个地方挂靠,不涉及资料迁移。
邮件客户端也不用服务商的,用黑群晖的 mailplus ,送了 5 个授权,自己也就只用一个够了。
服务商只是帮我收发信,数据都在群晖上,由 mailplus 管理
mailplus 也设置好收信,防止措手不及的时候,先临时挂在群晖上,免得丢信
设置好 catch ,域名邮箱下,所有的邮件归你,每注册一个网站,就换用户名,数据泄露,也大概能猜到谁被脱裤了
比如今天的日志,tuodou 、178 ,嗯嗯,又是开心的一天
shijingshijing 13 小时 54 分钟前
只能说是安全这一块各个做的都是一泡污,支持 2FA 什么的国内也是认死理只支持手机验证码,其他 yubikey 什么的也没见哪个互联网大厂正儿八经支持过,倒是银行都有支持 USB Key 。
我们本不需要如此恶心,反正后面我都转到自建+Protonmail 上去了,爱咋咋地。
hanksun 10 小时 54 分钟前
TossPig 5 小时 26 分钟前
mailplus 是一个群晖提供的套件,准确的说是服务端和客户端都有,客户端除了网页版也提供手机 app ,支持 pop 收信,最初是想着家里翻墙,出门手机节约电不翻墙也能及时的收 gmail 。
参考介绍 https://www.synology.cn/zh-cn/dsm/feature/mailplus
日志截图就是被扫描了,随手看了两个 ip 一个美国,一个俄罗斯
我在注册网站的时候,习惯性填写邮箱为网站的二级域名,作为邮箱号来收验证和通知邮件
比如 https://tudou.com/ ,我就用 [email protected] 去注册
同时,我的域名 mx 记录里面有一段为了快速跑路指向我 mailplus stmp 服务的记录
有人买到了的社工库里有 [email protected] 的地址,以及我在 tudou 的密码,就肯定想能不能爆我邮箱嘛,都是程序扫,没特别智能,因为有做了 catch-all ,tudou 并不是我邮箱的登录账号,所以日常就能在 mailplus 里看到这样的日志
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK