В трясине Интернета в целом и Web 2.0 в частности Gmail длительное время оставался своеобразной зоной безопасности, где пользователь был спокоен за свою информацию. Похоже, что оно уже прошло, сообщает The Register .
Президент Errata Security Роберт Грэхэм заявил, что SSL HTTPS сессии Gmail обязаны иметь на уровень лучшую защиту, в противном случае злоумышленники смогут получить доступ к информации любого пользователя.
Он в частности отметил, что наибольшую угрозу представляет собой использование почты с помощью публичных хотспотов. "В таком случае Gmail предпочитает использовать javascript, а не SSL, что дает мне возможность получить доступ к так называемым временным файлам, с помощью которых я могу вернуться в пользовательский аккаунт, даже после того как он закончит работу. В таком случае не придется даже вводить, а тем более расшифровывать пароль, все крайне просто", - заявил Грэхэм.
Также он добавил, что верно использующие технологию SSL компании могут не волноваться, так как в таком случае данные их пользователей полностью защищены, но такие сайты как Gmail и Amazon, по мнению аналитика, не обеспечивают необходимой безопасности. Роберт Грэхэм протестировал огромное количество вебдванольных сайтов и пришел к выводу, что только Salesforce удалось устоять. "Могу сказать лишь, что они потратили достаточное количество времени для строительства грамотной защиты", - сказал он.
Справедливости ради нужно отметить, что Google все еще предоставляет намного лучшую защиту, нежели Yahoo!, MySpace, Facebook и другие вебдванольные сервисы, потому как Gmail и прочие аккаунт-ориентированные сервисы Google, поддерживающие SSL, шифруют всю информацию, которая передается во время сессии. Большинство сайтов шифруют данные только при логине, а затем быстро перестают защищать данные, как только пользователь был опознан.
Свои рассуждения по поводу безопасности Роберт Грэхэм представил публике еще две недели назад в блоге Errata Security , но широкое обсуждения проблема получила лишь после упоминания статьи Грэхэма Джорджем Оу в блоге Zero Day. Представители Google сообщили, что ознакомлены с рассуждениями Грэхэма и на сейчас проверяют озвученные факты.