xc komentāros pameta saiti uz Slashdot ierakstu par drošību Google servisos. Šajā ierakstā autors atsaucas uz rakstu par Gmail kontu hakošanas rīku.
A tool that automatically steals IDs of non-encrypted sessions and breaks into Google Mail accounts has been presented at the Defcon hackers’ conference in Las Vegas.
Populārajām Gmail epasta servisā, kā arī citos Google servisos ir iespējams pieslēgties gan caur kriptēto SSL pieslēgumu, gan caur nekriptēto.
The problem lies with the fact that every time you access anything on Gmail, even an image, your browser also sends your cookie to the website. This makes it possible for an attacker sniffing traffic on the network to insert an image served from http://mail.google.com and force your browser to send the cookie file, thus getting your session ID. Once this happens the attacker can log in to the account without the need of a password. People checking their e-mail from public wireless hotspots are obviously more likely to get attacked than the ones using secure wired networks.
Bet tā kā Google pagājušajā nedēļā sāka piedāvāt iespēju izmantot tikai SSL pieslēgumu, tad vīri silti iesaka šo iespēju arī izmantot. Īpaši tajās reizēs, kad piekļuve epastam notiek no publiskiem interneta pieslēgumiem.
Last week Google introduced a new feature in Gmail that allows users to permanently switch on SSL and use it for every action involving Gmail, and not only, authentication. Users who did not turn it on now have a serious reason to do so as Mike Perry, the reverse engineer from San Francisco who developed the tool is planning to release it in two weeks.
Lai ieslēgtu šo drošo pieslēguma režīmu ir jāieiet Gmail kontā un jāizvēlas “Iestatījumi” vai “Settings”, tālāk “Vispārīgi” vai “General” un pašā apakšā jāieliek ķeksis pie “Vienmēr lietot https” vai “Always use https”.
Tiem, kas lieto savu domēnu, piemēram, kā es coolynx.lv, kas fiziski izmanto Gmail epasta servisu, nāksies pieslēgties ar citu Google lietotāju pie Gmail un tur ieķeksēt šo ķeksi. Jo vismaz pagaidām privātajiem domēniem nav piesiets SSL un šī izvēlne. Bet caur savu Gmail kontu viss nostrādā.
Jup, šitais jau kādu brītiņu ir pieejams un tiek lietots.
Vislabāk Gmail janumiem sekot Gmail blogā: http://gmailblog.blogspot.com/
Ja tas http ir tik nedrošs, kādēļ tad nevar defaultā jau likt https. Un tie kam pofig, tie tad lai atslēdz, ja negrib.
Ūja, tā jau viena no vecākajām TCP ievainojamībām, nu gan asprāši – “prezentēja rīku” 😀
Principā ja lieto wifi, liec VPN un dzīvo mierā.. jeb arī samierinies ka jebkurš garāmgājējs var redzēt visus tavus cepumus.. Kādēļ vēl tur speciāli jāliek kāda bilde?
Neesmu SSL pārzinātājs, bet man ir aizdomas, ka situācijā, kad vari redzēt visu trafiku starp 2 punktiem, tad nekāds SSL nepalīdzēs. SSL tiek atkodēts korportatīvajos drošības risinājumos, lai netiek sūtīti ārā svarīgi dokumenti, un arī izstrādes rīkos, lai debugotu ssl protokolu lietojošu programmu…
kas, Tu tik tiešām neesi ssl pārzinātājs.
SSL protokolu var pabāzt zem jebkura aplikāciju līmeņa protokola.
japets: Jautājums ir, vai to ar atkodēt uz plaintextu, ja ir pieejams viss trafiks starp diviem punktiem?!?