2008-02-01
Gmail легко сломать через хотспоты
В трясине Интернета в целом и Web 2.0 в частности Gmail длительное время оставался своеобразной зоной безопасности, где пользователь был спокоен за свою информацию. Похоже, что оно уже прошло, .
Президент Errata Security Роберт Грэхэм заявил, что SSL HTTPS сессии Gmail обязаны иметь на уровень лучшую защиту, в противном случае злоумышленники смогут получить доступ к информации любого пользователя.
Он в частности отметил, что наибольшую угрозу представляет собой использование почты с помощью публичных хотспотов. "В таком случае Gmail предпочитает использовать javascript, а не SSL, что дает мне возможность получить доступ к так называемым временным файлам, с помощью которых я могу вернуться в пользовательский аккаунт, даже после того как он закончит работу. В таком случае не придется даже вводить, а тем более расшифровывать пароль, все крайне просто", - заявил Грэхэм.
Также он добавил, что верно использующие технологию SSL компании могут не волноваться, так как в таком случае данные их пользователей полностью защищены, но такие сайты как Gmail и Amazon, по мнению аналитика, не обеспечивают необходимой безопасности. Роберт Грэхэм протестировал огромное количество вебдванольных сайтов и пришел к выводу, что только удалось устоять. "Могу сказать лишь, что они потратили достаточное количество времени для строительства грамотной защиты", - сказал он.
Справедливости ради нужно отметить, что Google все еще предоставляет намного лучшую защиту, нежели Yahoo!, MySpace, Facebook и другие вебдванольные сервисы, потому как Gmail и прочие аккаунт-ориентированные сервисы Google, поддерживающие SSL, шифруют всю информацию, которая передается во время сессии. Большинство сайтов шифруют данные только при логине, а затем быстро перестают защищать данные, как только пользователь был опознан.
Свои рассуждения по поводу безопасности Роберт Грэхэм представил публике еще две недели назад в , но широкое обсуждения проблема получила лишь статьи Грэхэма Джорджем Оу в блоге Zero Day. Представители Google сообщили, что ознакомлены с рассуждениями Грэхэма и на сейчас проверяют озвученные факты.
Президент Errata Security Роберт Грэхэм заявил, что SSL HTTPS сессии Gmail обязаны иметь на уровень лучшую защиту, в противном случае злоумышленники смогут получить доступ к информации любого пользователя.
Он в частности отметил, что наибольшую угрозу представляет собой использование почты с помощью публичных хотспотов. "В таком случае Gmail предпочитает использовать javascript, а не SSL, что дает мне возможность получить доступ к так называемым временным файлам, с помощью которых я могу вернуться в пользовательский аккаунт, даже после того как он закончит работу. В таком случае не придется даже вводить, а тем более расшифровывать пароль, все крайне просто", - заявил Грэхэм.
Также он добавил, что верно использующие технологию SSL компании могут не волноваться, так как в таком случае данные их пользователей полностью защищены, но такие сайты как Gmail и Amazon, по мнению аналитика, не обеспечивают необходимой безопасности. Роберт Грэхэм протестировал огромное количество вебдванольных сайтов и пришел к выводу, что только удалось устоять. "Могу сказать лишь, что они потратили достаточное количество времени для строительства грамотной защиты", - сказал он.
Справедливости ради нужно отметить, что Google все еще предоставляет намного лучшую защиту, нежели Yahoo!, MySpace, Facebook и другие вебдванольные сервисы, потому как Gmail и прочие аккаунт-ориентированные сервисы Google, поддерживающие SSL, шифруют всю информацию, которая передается во время сессии. Большинство сайтов шифруют данные только при логине, а затем быстро перестают защищать данные, как только пользователь был опознан.
Свои рассуждения по поводу безопасности Роберт Грэхэм представил публике еще две недели назад в , но широкое обсуждения проблема получила лишь статьи Грэхэма Джорджем Оу в блоге Zero Day. Представители Google сообщили, что ознакомлены с рассуждениями Грэхэма и на сейчас проверяют озвученные факты.
Александр Можаев, Вебпланета
Хакери Head Mare виклали дані клієнтів російського провайдера з Кубані
У Gmail з'явилися сині галочки верифікації: що зміниться для користувачів
В Естонії також можливі збої в постачанні електроенергії через Росію
Статки Цукерберга скоротилися на $71 мільярд через проблеми з Meta
Netflix врегулював суперечку з шахісткою Ноною Гапріндашвілі через серіал «Ферзевий гамбіт»
Маск хотів відкласти угоду щодо покупки Twitter через побоювання початку третьої світової війни
Російська хакерська група атакувала японські урядові сайти через підтримку України
Поширювали через інтернет дезінформацію: СБУ ліквідувала мільйонну ботоферму, яка працювала на замовлення однієї з політсил
Акції Twitter впали на 11% через відмову Ілона Маска купувати соцмережу
