На Яндексе возможен перехват логинов и паролей

Система авторизации Яндекса подвержена MITM (Man-In-The-Middle)-атаке: можно заставить Яндекс передавать логины и пароли в открытом виде, что влечет за собой угрозу их перехвата.

Для тех, кто не в курсе, что такое MITM (цитата из Википедии):

Атака "человек посередине" (англ. Man in the middle, MitM-атака) - термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.

Применительно к сетям, возможность перехватывать и в отдельных случаях изменять передаваемый трафик. Это грозит раскрытием логинов и паролей к сайтам. Для защиты от этого применяется SSL.

MITM на Яндексе

При входе на Яндекс логин и пароль честно передаются по SSL-протоколу. Но взглянем на часть исходного кода страницы авторизации с описание формы:

Изначально в форме указано, что данные должны передаваться по нешифровнному каналу:

action="http://passport.yandex.ru/passport?mode=auth"

Передавать данные по SSL заставляет скрипт forcehttps.js, который у всех форм меняет в свойстве action "http" на "https":

// Force HTTPS javascript
//
// $Id: forcehttps.js,v 1.3 2006-12-12 14:05:01 shurukhin Exp $

(function(){
var frm = document.forms.MainLogin;
if(frm) {
frm.action=frm.action.replace(/^http:/i, `https:`)
frm.action=frm.action.replace(/^//,`https://`+document.domain+`/`)
}
})();


Если же этот скрипт не выполнится, то логин и пароль будут пересылаться в открытом виде.

Вывод

Если у атакующего есть возможность подменить или заблокировать скачивание forcehttps.js, то логин и пароль передадутся на сервер в открытую. Например, админ в офисе просто заблокировал скачивание forcehttps.js на прокси-сервере (офис ходит в инет через него), то он легко может перехватить логин и пароль от аккаунта на яндексе, принадлежащие сотрудникам офиса.