Яндекс.Почта стала ещё безопаснее

15 марта 2011, 16:33

Для команды Яндекс.Почты основными приоритетами являются безопасность, сохранность ваших писем и предотвращение доступа посторонних к личным данным, которые вы храните на Яндексе.
Для этого мы делаем очень многое: например, каждое письмо хранится как минимум на двух серверах, которые расположены в разных дата-центрах. Это означает, что даже если на одном из серверов произойдёт сбой или в дата-центре выключится электричество, вы ничего не заметите — ни одно письмо не пропадёт.
Кроме того, в Яндекс.Почте существует журнал посещений. С его помощью можно легко проверить, не получил ли кто-нибудь посторонний доступ к вашему ящику.

Однако мер по безопасности много не бывает.

Сейчас всё более распространенными становятся открытые Wi-Fi сети, где злоумышленникам достаточно просто следить, какая информация ходит между вашим компьютером и интернетом. Информация эта, как правило, передаётся в незашифрованном виде, а значит, использование открытых Wi-Fi сетей таит в себе угрозу «поделиться» секретными данными с тем, с кем не надо.

Сегодня у вас появилась возможность шифровать информацию, которой компьютер обменивается с Яндекс.Почтой. Для этого достаточно перейти в настройки безопасности и установить галочку «использовать безопасное соединение». С этого момента любой злоумышленник, попытавшись «прослушать» ваш трафик, не сможет получить доступ к вашему почтовому ящику. Настоятельно рекомендуем вам включить эту опцию.

 

Логин и пароль при авторизации в Яндекс.Почту передавались через безопасное соединение и до сегодняшнего дня. 

Напомним также, что очень полезно регулярно менять пароль от почтового ящика (воспользуйтесь нашими рекомендациями). Кроме того, советуем подтвердить свой номер телефона — это позволит легко восстановить доступ к ящику, если вы забудете пароль.

75 комментариев
Подписаться на комментарии к посту
Когда эти изменения придут в Яндекс.Бар (в частности, для Google Chrome)? Вызов почты оттуда ведёт на незащищённый сайт.
Если вы включите "безопасное содеинение" в настройках, то по ссылке из бара вас тоже будет перебрасывать на HTTPS-версию.
А для Нео-2009 шифрование планируется?
Да, для Нео-2009 нет этой опции. Планируете ее добавлять? Интерфейс этот пока, что лучше всех.
Для нео-2009 можем порекомендовать только запомнить адрес https://mail.yandex.ru в закладках браузера.

Сделал.

Спасибо.

А виджет для Андроида Я.Почта трафик идет шифрованый?
Отличная новость. Спасибо огромное!
А как сделать так, чтобы авторизация каждые две недели не слетала?
Никак – это специально сделано!

Очень неудобно.

Если я пользуюсь на компьютере сервисами регулярно, я не хочу, чтобы авторизация внезапно пропадала.

До 2008 года была галочка "запомнить меня", а потом она исчезла и появилась "запомнит на 2 недели"
С точки зрения безопасности это правильно, что через время авторизация протухает.

Это правильно? И что же это даёт? Почему две недели, а не два года или два дня?

И почему пользователь не может решать, что ему лучше?

Пользователь в праве решать. Как я написал ниже, Вы можете выбрать другой режим авторизации, тогда она не будет исчезать.
О Вашей безопасности беспокоятся. Что сделано то сделано и я почти уверен, что переделывать ничего не будут. Но можете попробовать обратиться в службу поддержки с предложением вдруг Ваши аргументы посчитают весомыми…

Неубедительно. За две недели несанкционированного доступа можно пересмотреть весь ящик и настроить пересылку. Чем две недели с точки зрения безопасности отличаются от двух лет?

А вот об удобстве не беспокоются. Вам рассказать, как удобно набирать двадцатисимвольный сложный пароль на клавиатуре мобильного телефона?

В службу поддержки писать бесполезно. Но может быть, кто-нибудь задумается, почему установленные правила именно такие. Хотя бы задумается.

1. Как я полагаю это сделано исключительно для удобства чтобы забыв разлогиниться оно само вышло.
2. В Яндекс.Паспорт можно принудительно закрыть все сессии.
3. Ну это уже Ваши трудности, что у Вас 20-ть знаков в пароле. Паранойя дело полезное но не всегда оправданное… Да и к тому же пожизненная авторизация сводит на нет всю безопасность Вашего пароля…

При возникновении проблем всегда писал в службу поддержки и мне всегда помогали их решать. Попробуйте :-) (тем более у Вас один из руководителей Яндекс – взаимный друг :-) )

1. Вернусь к тому, с чего начал. Я не против разлогинивая через две недели или даже неделю бездействия. Но если я каждый день хожу на сервисы Яндекса, почему я внезапно вижу требование ввести пароль, хотя ещё пять минут назад смотрел почту?

2. Именно. Так зачем всё-таки раз в две недели заставлять человека перелогиниваться?

3. Нет уж, во-первых, это яндексовские рекомендации, а во-вторых, паранойя — как раз заставлять регулярно перелогиниваться, а не использовать длинные пароли.

Насчёт пожизненной авторизации см. п. 1.

У меня были две конкретные проблемы, вызванными сбоями в почте Яндекса. Один раз у меня исчезла папка с десятками тысяч писем, а в другой склеились все метки у писем. Эти проблемы мне решить не смогли.

Во у людей проблемы-то...
После небольшого эксперимента выяснилось, что в режиме "Всегда узнавать меня" после каждого захода сессия продлившийся на неделю т.ч. это вполне Вам подходит
Простите, я ничего не понял.
 Изменить режим тут
У меня выбрано «Узнавать меня всегда». Предлагаете заменить на «Никогда меня не узнавать?»
Нет.
У меня правда стоит «Никогда не узнавать», но при этом галочка запомнить меня запоминает на две недели…
Извините, у меня нет времени по третьему разу рассказывать, что в этом плохого. Всё уже изложено в этой ветке выше.
Да, да я помню…
Просто при авторизации не ставьте галочку «Запомнить меня». Тогда при наличии режима «Узнавать меня всегда» куки будут автоматически продлеваться и авторизация пропадать не будет.
Например, Вы можете установить режим "Всегда узнавать меня" на странице настройки доступа.
Это совсем не о том…
Не обманывайте людей. Если человек хочет, чтобы у него не пропадала авторизация, то ему нужно активировать соответствующий режим авторизации. А также не очищать cookies.
Да-да, тут все умные один я дурак. Настоящий джентльмен никогда не признает, что он неправ.
То, что ты описываешь абсолютно не имеет отношения к тому о чем разговор. То, что делает это настройка это оставляет твой логин в поле логина на странице авторизации. Независимо включена или отключена эта настройка, каждые две недели будет спрашивать пароль…
Ещё раз повторяю: не обманывайте людей. Оставляет логин в поле логина на странице авторизации не эта настройка, а сам браузер, если у его настройках указано сохранять в памяти данные о введенных в различные формы значениях. Указанная же настройках сохраняет авторизацию, если сам браузер или сам пользователь не очистит cookies.
Хорошо пойдемте от противного Вы сами пользовались этой настройкой?
Отключите автозаполнение в браузере и включите настройку и нажмите на «Выход» в аккаунте – имя пользователя будет в строке логина, а потом выключите и сделайте тоже самое…
Может тогда Вы поймете, что это не то о чем спорят…
Мне достаточно зайти с другого браузера, где у меня нет авторизации, чтобы убедиться в Вашей неправоте =) О боже, Яндекс работает не так, как пишет , который считает себя спецом по Яндексу. >:-)
Ну начнем с того, что я не спец по Яндексу, а у Вас к сожалению проблема с пониманием очевидных вещей.
Это настройка вносит изменение в Cookes которую Яндекс оставляет (в текущем браузере). А то, что это не работает в другом браузере это само собой разумеющееся.
Если уж начинать с чего-то, то стоит начать с того. что с том браузере я тоже авторизовывался неоднократно. А продолжить стоит тем, что я, как послушный мальчик, выполнил описанные Вами шаги, но, как и следовало ожидать, форма авторизации не предложила мне мой логин, по какой-то непонятной мне причине, ведь она должна и обязана - у меня в Яндексе выбран режим узнавания. С чего бы это?
Прошу прощения, я виноват! Я сам попробовал как оно работает. Логика этой настройки изменилась. Раньше оно запоминало только логин, а сейчас оно стало аналогом галочки «Запомнить меня».
Нет, не аналогом. Галочка «Запомнить меня» по-прежнему выдаёт Вам куку на две недели. А вот если Вы  не будете её выбирать, но у Вас активировал режим «Узнавать меня всегда», то авторизация пропадать не будет, куки будут продлеваться.
странно а если злоумышленники специально слушают только безопастные соединения? эта функция облегчит им жизнь? или этот протокол вообще нельзя взломать?
Ничего невозможного нет. Слушать безопасные соединения невозможно. Для глаза то, что передается в защищенном соединении попросту непонятный набор знаков, а для того, чтобы расшифровать нужно время.
Ничего невозможного нет. Слушать безопасные соединения невозможно
Вы противоречите сами себе =)
То, что написано человеком – может быть сломано другим человеком. 100% гарантии безопасности нет.
А то, что 99,8% никто никогда не будет пытаться лопать – это факт т.к. овчинка выделки не стоит, у кого есть что-то важное, то оно не хранится в публичной почте…
Безопасные соединения прослушать довольно сложно, намного-намного сложнее, чем обычные. И почти наверняка браузер выведет вам предупреждение о том, что есть подозрительная активность.

Это клево. Но тормоза при работе с IMAP по-прежнему аццкие.

[Ticket#11010820450646171] Медленно открывается Inbox через IMAP

[Ticket#11012404000344918] IMAP доступ к ящику

 

Посмотрите, пожалуйста.

Хм, создавая вчера почтовый ящик, не знал, что эта фишка только появилась. Думал, она уже не первый день :-)
Просто доступ по https стал теперь ещё более удобным.
Почему мне не приходит код код для подтверждения мобильного телефона? Оператор Tele2.
Попробуйте ещё раз отправить его со страницы http://phone-passport.yandex.ru/phones . Если не придёт, сообщите нам.
Попробовал. Не пришло.
А при авторизации не с главной страницы, а с http://mail.yandex.ru/ логин и пароль тоже через безопасное соединение передаются?
Да, потому что Яндекс.Паспорт, обрабатывающий Вашу авторизацию, через
который Вы в любом случае проходите, работает только по https.
--------------
"Сегодня у вас появилась
возможность шифровать
информацию, которой
компьютер обменивается с
Яндекс.Почтой."
--------------
- Относится ли эта информация к работе мобильных клиентских программ, типа "Яндекс.Онлайн", "Яндекс.Почта", устанавливаемых на теле- и смартфонах?
_____
- Не подскажете ещё, где у вас обсуждаются у вас мобильные программы, в частности Яндекс.Почта? Или можно здесь вам писать?
Интересует вот что. Идёт ли работа над улучшением, принимаются ли предложения и пожелания?
_____
Если нужно обсудить что-то, есть клуб мобильной Почты: http://clubs.ya.ru/mobonline . Если Вы хотите узнавать о новостях, есть блог мобильных сервисов: http://mobile-blog.ya.ru . А все предложения можно посылать через форму обратной связи: http://feedback.yandex.ru/?from=mobmail .
- Ага, спасибо большое. Позже я уже нашел этот клуб. И вроде даже записался туда. Попробую там потом описать свои впечатления и предложения.
Молодцы!
Давно пора было это реализовать
Молодцы! Давно пора было это реализовать.
Удалённый пользователь
16 марта 2011, 03:51
Круто. Большое спасибо!!!!![:]||||||[:]:-)(+1)(+1)(+1)(+1)(+1)
Класс, теперь и я использую безопасное соединение!
На конец то, круто!

Новость радует.

 

Один(или не один) вопрос

 

А это работает только с последней темой (нео 2010) если да - было бы неплохо предупредить,
если нет - подскажите что я не так делаю.


Вообще доступ по https работает для всех интерфейсов и уже давно. Просто в новом интерфейсе его можно включить как вариант соединения по умолчанию в настройках. Во всех более ранних интерфейсах придётся закладывать адрес по https в закладки браузера.

Спасибо.

 

Ручками прописать-попробовать догадался. 

Но это реально после каждого перевохда прописывать или в закладки.

Моя мечта — иметь возможность авторизовываться в почте с помощью отправки/получения какого-нибудь смс-кода или с помощью мобильного приложения, вроде того, что существует у системы E-Num. Можете считать меня параноиком :)))
Не совсем пашет. По хттпс грузится не всё, много идёт по хттп, из-за чего страницу нельзя считать полностью защищённой, и в фф синий значок не отображается.

Добрый день. Я столкнулся со следующей проблемой:

Почта сама собой разлогинивается и отказывается авторизоваться по прежнему паролю, я решил изменить пароль, но ответ на контрольный вопрос я не вспомнил, или он не подошел, поэтому я отправил письмо на другой (оставленный для восстановления) адрес, перейдя по ссылке я назначил новый пароль и попал в почту. Далее, я решил изменить секретный вопрос, но для того, чтобы изменить его, необходио знать старый ответ.

Что получается: а получается, что «доброжелателю» достаточно подобрать ответ на секретный вопрос к почте и заменить его, и все, далее владелец может менять пароли, отправлять письма, делать, что угодно, что бы он не делал, почта будет принадлежать тому, кто знает ответ на секретный вопрос.

Зачем давать пользователю несколько способов попасть в почту, если пароль забыт?

Например: секретный вопрос и email.
По логике разработчиков, пользователь обязан знать ответ на секретный вопрос, а если так, то альтернативный способ восстановления вообще ни к чему. 

Как изменить секретный вопрос, не зная на него ответ?

Bonifaci,
зъ=0ш9о-рт08
яндекс почта на меня бросается
немогу открыть почту страница недоступна потеряно соединение с сервером что делать.
Тимофей, служба поддержки
27 октября 2015, 16:06
Добрый день!

Возможно, предложенная мной инструкция устранит проблему. Если во время её выполнения у Вас возникнут затруднения, обращайтесь за подсказкой!

1. Пожалуйста, попробуйте очистить кэш браузера и удалить cookies.

2. Если у Вас работает блокировщик AdBlock, попробуйте его отключить и посмотреть, будет ли загружаться почта.

3. Если блокировщика нет, пожалуйста, проверьте год, месяц и день на системных часах Вашего компьютера. В случае, если данные установлены неверно, установите их (неверная дата может влиять на корректность почтового сертификата и, соответственно, быть причиной проблем с загрузкой почты).

4. Если все эти действия не помогли, пожалуйста, уточните, используете ли Вы антивирус, и, если да, то какой?
Ничего не изменилось ,ошибка SSL.неудаётся создать безопасное соединение ссервером.возможно,проб.на сервере,или отсут.клиентский сертификат.код ошибки ERR_SSL_PROTOKOL_ERROR:Ошибка протоколаSSL.
Тимофей, служба поддержки
28 октября 2015, 16:49
Уточните, пожалуйста, антивирусом Вы пользуетесь? Каким именно?
достала новая почта!!!! не удобная! на торой раз не отправляет сразу в шаблон загоняет файл не цепляется, много вопросов лишних