SSL-шифрование Gmail не защищает от атак

image

Теги: Gmail, SSL

Роберт Грэхэм, генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам.

Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту.

Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register.

Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие».

Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов.


или введите имя

CAPTCHA
Страницы: 1  2  
1
04-02-2008 13:21:30
mldc .. horosaja podskazka .
0 |
1
04-02-2008 13:45:04
а смысл использовать эти сервисы? парламент англицким по белому написал: спецслужбам обеспечить свободную перлюстрацию почты. спрашивается, нафига нужен gmail'овский ssl? охота писать анонимки - надо шифровать их самостоятельно.
0 |
ezo
04-02-2008 14:31:20
Ну воперых SSL обепечивает шифрование на протяжении всего пути запроса от пользовательского ПК и до SSL Сервиса. Тоесть, он нужен только для того что бы не кто с помощью сниффа не перехватил данные, точнее он конечно может перехватить, но с использованием SSL они будут зашифрованны.
0 |
1
04-02-2008 14:37:05
по мойму он открыл омерику...
0 |
1
04-02-2008 14:39:28
Некогда нелюбил это ГавноМыло и непонимал пафоса кулхацкеров в связи с ним. Ну зарегистрирован у меня там ящик. Нигде не светил и не пользовался им, папка входящие + спам - спамом завалена
0 |
FSA
04-02-2008 19:19:04
У меня только папка спам спамом завалено. Зато на майловском ящике, который я только для служб майла и использовал спам раздеяется. бОльшая часть попадает во входящие, небольшая часть в сомнительные, остальные думаю просто уничтожают.
0 |
1
04-02-2008 20:22:32
Mail.Ru ящики через Агента светит... А вообще, чего ещё хотеть от бесплатной почты на сервере, который не ты 100% контролируешь...
0 |
05-02-2008 21:27:36
Жесть! Даешь каждому пользователю по почтовому серверу!
0 |
1
05-02-2008 10:52:10
Настраивать не пробовал?
0 |
Страницы: 1  2