拉斯维加斯举行的Defcon黑客大会上展示了一种工具,能自动窃取Google Mail非加密会话ID,并进而攻占邮箱.来自旧金山的逆向工程师Mike Perry开发了这一工具,并计划在两周内发布,他表示没有选择SSL的用户现在需要认真对待.当用户登录Gmail 时,网站会向浏览器发送包含ID的cookie文件,它将保留两周时间,除非你选择退出.
问题在于:每次你访问 Gmail,即使是上面的一幅图像,浏览器都会向网站发送cookie文件,这就是使得攻击者能够嗅探通话,通过植入 http://mail.google.com上的图像诱使浏览器发送 cookie,从而获得你的ID.当这一切发生之后,攻击者无需密码就可登录邮箱.Google在上个礼拜介绍了Gmail的新特性,允许用户永久选择 SSL,除验证之外,它将加密Gmail内的所有操作.但Perry抱怨Google不透明,“Google没有解释为什么这项功能是如此重要”.
Gmail有充分理由启用SSL加密会话
發佈留言