Kā aizsargāt savus datus Google servisos

xc komentāros pameta saiti uz Slashdot ierakstu par drošību Google servisos. Šajā ierakstā autors atsaucas uz rakstu par Gmail kontu hakošanas rīku.

A tool that automatically steals IDs of non-encrypted sessions and breaks into Google Mail accounts has been presented at the Defcon hackers’ conference in Las Vegas.

Populārajām Gmail epasta servisā, kā arī citos Google servisos ir iespējams pieslēgties gan caur kriptēto SSL pieslēgumu, gan caur nekriptēto.

The problem lies with the fact that every time you access anything on Gmail, even an image, your browser also sends your cookie to the website. This makes it possible for an attacker sniffing traffic on the network to insert an image served from http://mail.google.com and force your browser to send the cookie file, thus getting your session ID. Once this happens the attacker can log in to the account without the need of a password. People checking their e-mail from public wireless hotspots are obviously more likely to get attacked than the ones using secure wired networks.

Bet tā kā Google pagājušajā nedēļā sāka piedāvāt iespēju izmantot tikai SSL pieslēgumu, tad vīri silti iesaka šo iespēju arī izmantot. Īpaši tajās reizēs, kad piekļuve epastam notiek no publiskiem interneta pieslēgumiem.

Last week Google introduced a new feature in Gmail that allows users to permanently switch on SSL and use it for every action involving Gmail, and not only, authentication. Users who did not turn it on now have a serious reason to do so as Mike Perry, the reverse engineer from San Francisco who developed the tool is planning to release it in two weeks.

Lai ieslēgtu šo drošo pieslēguma režīmu ir jāieiet Gmail kontā un jāizvēlas “Iestatījumi” vai “Settings”, tālāk “Vispārīgi” vai “General” un pašā apakšā jāieliek ķeksis pie “Vienmēr lietot https” vai “Always use https”.

Tiem, kas lieto savu domēnu, piemēram, kā es coolynx.lv, kas fiziski izmanto Gmail epasta servisu, nāksies pieslēgties ar citu Google lietotāju pie Gmail un tur ieķeksēt šo ķeksi. Jo vismaz pagaidām privātajiem domēniem nav piesiets SSL un šī izvēlne. Bet caur savu Gmail kontu viss nostrādā.

6 thoughts on “Kā aizsargāt savus datus Google servisos

  1. civucavu

    Jup, šitais jau kādu brītiņu ir pieejams un tiek lietots.

    Vislabāk Gmail janumiem sekot Gmail blogā: http://gmailblog.blogspot.com/

    Atbildēt
  2. atis

    Ūja, tā jau viena no vecākajām TCP ievainojamībām, nu gan asprāši – “prezentēja rīku” 😀

    Principā ja lieto wifi, liec VPN un dzīvo mierā.. jeb arī samierinies ka jebkurš garāmgājējs var redzēt visus tavus cepumus.. Kādēļ vēl tur speciāli jāliek kāda bilde?

    Atbildēt
  3. kas

    Neesmu SSL pārzinātājs, bet man ir aizdomas, ka situācijā, kad vari redzēt visu trafiku starp 2 punktiem, tad nekāds SSL nepalīdzēs. SSL tiek atkodēts korportatīvajos drošības risinājumos, lai netiek sūtīti ārā svarīgi dokumenti, un arī izstrādes rīkos, lai debugotu ssl protokolu lietojošu programmu…

    Atbildēt

Atbildēt uz komentāru Valdis Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *