MRA (функционал перенесён в протокол ICQ)

[Thug]

Когда я пытаюсь подключиться к MRA через миранду, мне на почту прилетает письмо о подозрительной попытке входа.

"Мы заботимся о вашей безопасности и в некоторых случаях проводим дополнительную проверку, чтобы злоумышленник не смог получить доступ к вашим данным, даже если он знает ваш пароль. Если в истории действий нет подозрительных записей, это значит, что злоумышленник не прошёл проверку. В этом случае ваши данные остаются в безопасности, но пароль всё равно необходимо сменить. Важно, чтобы он был уникальным, не похожим на предыдущие и его знали только вы."

Может, там какая-то капча должна прилетать, которую миранда открывать не умеет?

[dartraiden]

Нет, там мысль в том, что mail.ru, что Google справедливо полагают, что вход с паролем небезопасен, поскольку пароль без двухфакторной авторизации это святая святых, позволяющая угнать аккаунт, и должен фигурировать как можно реже. Приложение не должно хранить пароль, а должно после однократного ввода пароля получать и использовать OAuth-токен.

Например, даже через старый клиент Облака mail.ru нельзя влогиниться с паролем аккаунта, будет такое же сообщение о небезопасной попытке доступа. Там нет никакой капчи, если логинишься с паролем аккаунта - тебя просто не пускают.

При включённой двухфакторной авторизации для приложений, не умеющих в неё, создаётся отдельный пароль. По сути, это токен, поэтому это считается безопасным. Но Миранда не поддерживает 2FA для mail.ru

У Google есть опция "при отключённой 2FA разрешить ненадёжным приложениям доступ", но у mail.ru такой опции нет.

Вывод: надо делать поддержку паролей приложений, чтобы пользователи мог включить двухфакторную авторизацию и создать для Миранды отдельный пароль вместо пароля от учётки.

https://github.com/miranda-ng/miranda-ng/issues/2937#issuecomment-1872981210

[Thug]

dartraiden, Нифига  Т.к. миранда притворяется хромом, попробовал сейчас зайти в почту через хром - почта попросила меня подтвердить мой номер телефона, вписав 4 последние цифры. Это и есть их аналог капчи, вроде недавно эта фича появилась. После того, как я это сделал, меня впустило и в хроме, и в миранде. С Новым годом 

[dartraiden]

Добавил это в вики.

[Thug]

dartraiden, я думаю, тут важно войти именно через хром. Я и так постоянно захожу в почту через браузер, но у меня мозилла по-умолчанию, и там подтверждение не запрашивалось. Мэйл ру насторожил именно хром, под который маскируется миранда. Когда я зашёл через настоящий хром и подтвердил телефон, это распространилось и на миранду, так как для мэйл ру это одно и то же устройство, хоть и версии разные - главное, что IP тот же.

[dartraiden]

Возможно, да.

[Svetogor]

Они же сделали отдельные пароли для приложений и это работало, что сейчас им взбрело.У меня нет двухфакторной авторизации и захожу через лису, если долго не был, пришлось отвечать на вопросы 

[dartraiden]

Они же сделали отдельные пароли для приложений и это работало

Проблема в том, что это никогда не работало c 2FA, я про это тикет заводил.

[Thug]

Сегодня у меня сменился айпишник (у меня динамический), и опять перестало пускать в миранде. В этот раз трюк с гугл хромом не сработал. Я даже попробовал установить 86-ю версию хрома, под которую маскируется миранда, но всё равно не проканало. Они кстати усилили проверку - теперь помимо подтверждения номера нужно пройти капчу (ткнуть "я не робот"). По логам вроде всё то же самое, что и в прошлый раз

Code: [Select]

[13:38:00 0AC8] [MRA_1] CIcqProto::SetStatus iNewStatus = 40072, m_iStatus = 40071, m_iDesiredStatus = 40071 m_hWorkerThread = 00000208
[13:38:00 0AC8] KeepStatus: assigning status 40072 (40071, 0) to MRA_1
[13:38:00 080C] [MRA_1] Executing request 6390c529-b61e-4f44-93e1-52c0d396c40e:
https://icqapilogin.mail.ru/auth/mrimLogin
[13:38:00 080C] [MRA_1] Connection request to icqapilogin.mail.ru:443 (Flags 11)....
[13:38:00 080C] [MRA_1] (05A1CD78) Connecting to server icqapilogin.mail.ru:443....
[13:38:00 080C] [MRA_1] (05A1CD78) Connecting to ip 178.237.20.122:443 ....
[13:38:00 080C] [MRA_1] (1076) Connected to icqapilogin.mail.ru:443
[13:38:00 080C] [MRA_1] (1076 icqapilogin.mail.ru) Starting SSL/TLS negotiation
[13:38:00 080C] [MRA_1] (1076 icqapilogin.mail.ru) SSL/TLS negotiation successful
[13:38:01 080C] [MRA_1] (05A1CD78:1076) Data received
HTTP/1.1 200 OK
Server: openresty
Date: Tue, 16 Jan 2024 01:38:02 GMT
Content-Type: application/json;charset=UTF-8
Content-Length: 104
Connection: keep-alive
Keep-Alive: timeout=75
Pragma: no-cache
Cache-Control: no-store,no-cache,must-revalidate
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

{"response":{"statusCode":462, "statusText":"Parameter error - Cookie", "requestId":"91640-1626423568"}}
[13:38:01 080C] [MRA_1] (05A1CD78:1076) Data received
{"response":{"statusCode":462, "statusText":"Parameter error - Cookie", "requestId":"91640-1626423568"}}
[13:38:01 080C] [MRA_1] (05A1CD78:1076) Connection closed internal
[13:38:01 080C] [MRA_1] (05A1CD78:4294967295) Connection closed
[13:38:01 080C] [MRA_1] Executing request b03bd936-acaa-45b1-87d0-b475248b4851:
https://auth.mail.ru/sdc?JSONP_call=jscb_tmp_c85825&from=https%3A%2F%2Ficqapilogin.mail.ru%2Fauth%2FmrimLogin
[13:38:01 080C] [MRA_1] Connection request to auth.mail.ru:443 (Flags 11)....
[13:38:01 080C] [MRA_1] (05A1CD78) Connecting to server auth.mail.ru:443....
[13:38:01 080C] [MRA_1] (05A1CD78) Connecting to ip 217.69.139.60:443 ....
[13:38:01 080C] [MRA_1] (1076) Connected to auth.mail.ru:443
[13:38:01 080C] [MRA_1] (1076 auth.mail.ru) Starting SSL/TLS negotiation
[13:38:01 080C] [MRA_1] (1076 auth.mail.ru) SSL/TLS negotiation successful
[13:38:01 080C] [MRA_1] (05A1CD78:1076) Data sent
POST /sdc?JSONP_call=jscb_tmp_c85825&from=https%3A%2F%2Ficqapilogin.mail.ru%2Fauth%2FmrimLogin HTTP/1.1
Accept-Encoding: deflate, gzip
Content-Type: application/x-www-form-urlencoded
Cookie: ukey=efqhpzaFBVGmTgl6UR0sc01; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ;
Referer: https://webagent.mail.ru/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.112 Safari/537.36
Host: auth.mail.ru
Connection: Keep-Alive
Proxy-Connection: Keep-Alive
Content-Length: 0

[13:38:01 080C] [MRA_1] (05A1CD78:1076) Data received
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 16 Jan 2024 01:38:02 GMT
Content-Type: application/x-javascript; charset=UTF-8
Content-Length: 66
Connection: keep-alive
Content-Encoding: gzip
P3P: CP="NON CUR OUR IND UNI INT"
X-Mru-Request-Id: 55c9b3cf
Vary: Accept-Encoding
X-Host: fau33.m.smailru.net
Critical-CH: Sec-CH-UA-Platform, Sec-CH-UA-Platform-Version, Sec-CH-UA-Full-Version, Sec-CH-UA-Model, Sec-CH-UA-Full-Version-List
Accept-CH: Sec-CH-UA-Platform, Sec-CH-UA-Platform-Version, Sec-CH-UA-Full-Version, Sec-CH-UA-Model, Sec-CH-UA-Full-Version-List
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection

‹
[13:38:01 080C] [MRA_1] (05A1CD78:1076) Connection closed internal
[13:38:01 080C] [MRA_1] (05A1CD78:4294967295) Connection closed
[13:38:01 080C] [MRA_1] Executing request 7f8842dc-c9a3-4ea6-9a5e-0d1a0719a301:
https://icqapilogin.mail.ru/auth/mrimLogin
[13:38:01 080C] [MRA_1] Connection request to icqapilogin.mail.ru:443 (Flags 11)....
[13:38:01 080C] [MRA_1] (05A1CD78) Connecting to server icqapilogin.mail.ru:443....
[13:38:01 080C] [MRA_1] (05A1CD78) Connecting to ip 178.237.20.122:443 ....
[13:38:01 080C] [MRA_1] (1232) Connected to icqapilogin.mail.ru:443
[13:38:01 080C] [MRA_1] (1232 icqapilogin.mail.ru) Starting SSL/TLS negotiation
[13:38:02 080C] [MRA_1] (1232 icqapilogin.mail.ru) SSL/TLS negotiation successful
[13:38:02 080C] [MRA_1] (05A1CD78:1232) Data received
HTTP/1.1 200 OK
Server: openresty
Date: Tue, 16 Jan 2024 01:37:55 GMT
Content-Type: application/json;charset=UTF-8
Content-Length: 104
Connection: keep-alive
Keep-Alive: timeout=75
Pragma: no-cache
Cache-Control: no-store,no-cache,must-revalidate
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

{"response":{"statusCode":462, "statusText":"Parameter error - Cookie", "requestId":"91640-1626423568"}}
[13:38:02 080C] [MRA_1] (05A1CD78:1232) Data received
{"response":{"statusCode":462, "statusText":"Parameter error - Cookie", "requestId":"91640-1626423568"}}
[13:38:02 080C] [MRA_1] (05A1CD78:1232) Connection closed internal
[13:38:02 080C] [MRA_1] (05A1CD78:4294967295) Connection closed
[13:38:02 080C] [MRA_1] ConnectionFailed -> reason 7
[13:38:02 080C] [MRA_1] CIcqProto::ShutdownSession
[13:38:02 080C] [MRA_1] CIcqProto::OnLoggedOut
[13:38:02 0AC8] KeepStatus: connection lost! (MRA_1)
[13:38:03 0AC8] [MRA_1] CIcqProto::SetStatus iNewStatus = 40071, m_iStatus = 40071, m_iDesiredStatus = 40071 m_hWorkerThread = 00000208
[13:38:03 0AC8] KeepStatus: assigning status 40071 (40072, 0) to MRA_1

Меня смустило только вот это:
Cookie: ukey=efqhpzaFBVGmTgl6UR0sc01; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ;
Что за точки с запятыми?


------------------
После очередной смены IP-адреса снова пускает...

[Thug]

Всё, с этой или прошлой недели больше никакие ухищрения залогиниться через миранду мне не помогают. Проверьте, по идее ни у кого не должно работать теперь. Кстати, почти одновременно с этим яндекс полностью запретил почтовым приложениям подключаться к почте через обычный пароль - теперь только по паролям для приложений. Походу им всем какая-то установка сверху пришла по усилению безопасности.

Вывод: надо делать поддержку паролей приложений, чтобы пользователи мог включить двухфакторную авторизацию и создать для Миранды отдельный пароль вместо пароля от учётки.

Там пароли для приложений создаются независимо от того, включена двухфакторная авторизация или нет. Не обязательно её включать. Почитав вашу тему на гитхабе, понял, что всё печально 

[dartraiden]

Да, оно хочет в любом случае куку и авторизацию через веб, а Миранда не браузер.