Здравствуйте!
Имеется ящик вида name.surname@gmail.com
Сегодня получаю письмо с фейсбука о том, что кто-то зарегистрировался на фейсбуке с адресом почты:
namesurname@gmail.com
Про коллизию знаю. Попробовал отправить письмо на этот адрес — действительно пришло мне (на ящик с точкой).
Скажите, стоит ли волноваться? Ящик рабочий, важные письма.
Пойдут ли письма, целенаправленно отправленные на мой ящик (с точкой) на тот, который без точки?
Опасаться утечки данных?
Именно, адрес с точкой и без у Google — это один и тот же идентификатор. Единственно, чего стоит бояться — это спама и подставных регистраций (что вообщем-то у Вас и прозошло).
let's say your username is avan.lue. Someone else wants avanlue, and they try to sign up for it. You already own all variations (avan.lue, avanlue, a.v.a.n.l.u.e, etc) so we tell them that avanlue is unavailable. So they try a different username, and register avanlue1.
Later, they forget that they had to add the 1. When they sign up for Facebook, they type in «avanlue» instead of «avanlue1.» Because you own avanlue, you will get their mail.
Ребята, большое спасибо всем. Выходит и ящик FooBar@ — также принадлежит мне. Это все — просто алиасы?
Но тогда какой смысл пытаться регить кому-то акк на фейсбуке, если письмо с кодом все равно свалилось мне?
Не понимаю, ей-богу!
Это не алиасы. Точка — незначащий разделитель по RFC. То есть это просто один адрес. Можете это использовать для регистрации на разных сайтах, если уже одним адресом зарегились, но зачем-то нужна еще одна регистрация. Ставьте точку после любой буквы.
Данный вопрос регулируется RFC 5821 SMTP (самая современная версия стандарта). Ни в этой, ни в более старых о семантике local-part ни слова, кроме того, что она определяется исключительно системой, принимающей почту. Например, 2.3.11. Mailbox and Address:
...Consequently, and due to a long history of problems when intermediate hosts have attempted to optimize transport by modifying them, the local-part MUST be interpreted and assigned semantics only by the host specified in the domain part of the address.
Так что если взять адрес n.a.m....e@domain.com, то как обрабатывать точки в этом адресе, решает, согласно RFC, ТОЛЬКО система, обслуживающая domain.com и никто другой. И не факт, что эта система считает точки «незначащими разделителями».
То, что Гуголь сделал их незначащими разделителями — их право, опять, же, согласно этому RFC. А, например, если принимает в итоге Cyrus IMAPd, то они в нём имеют вполне определённый смысл разделителей в иерархии папок IMAP.
Ну подумаешь, мне на мой фамильный домен постоянно приходят письма о регистрации. Причем частенько от одного и того же имени с разницей в несколько десятков минут. Огромное число людей недотумкивают, что после регистрации нужно подтвердить будет. Хотя это сейчас и норма — но почему то не дотумкивают.
Вот что раскопал в поддержке гугла. Может кому-то еще поможет (в моменты пятничной паранойи).
Sometimes you may receive a message sent to an address that looks like yours but has a different number or arrangement of periods. While we know it might be unnerving if you think someone else's mail is being routed to your account, don't worry: both of these addresses are yours.
Gmail doesn't recognize dots as characters within usernames, you can add or remove the dots from a Gmail address without changing the actual destination address; they'll all go to your inbox, and only yours.
So, if you own 'gmail.guide [at] gmail.com,' you also own 'gmailguide' and 'g.m.a.i.l.g.u.i.d.e' and 'gm.ai.lg.ui.de,' and many more possibilities!
For security purposes, you can only log in with the exact username you used to create your account. So, if you started with dots, you have to log in with dots, but people who send you messages don't have to include dots.
Also, if you find that you're always receiving spam messages at a variation of your username. For instance, my username is 'gmail.guide' but I always get spam sent to 'gmailguide' and it ends up in my inbox. If that's the case, you can create a filter for messages address to 'gmailguide' and send them directly to Trash.
Точки игнорируются. У гугла в своё время была из-за того уязвимость, так как можно было регистрировать email с точкой совпадающий с существующим. После этого можно было читать письма отправленные на ящик без точки. Но это уже давно исправлено.
Кроме этого можно делать email с плюсиком, эта часть игнорируется myemail+habr@… myemail+spam@…
К сожалению этот финт проходит валидацию не на всех сайтах.
Скажите, а как вы считаете — конкретно в тот период времени письма, отправленные на ящик с точкой, они уходили также и на ящик без точки? Получается двухсторонняя компрометация ящиков, или я ошибаюсь?
c0deX, подскажите, пожалуйста, удалось ли Вам выяснить детали и разобраться с вопросом? Меня тоже интересует, безопасно ли использование имэйла. Заранее спасибо!
Средний
