SSL-шифрование Gmail не защищает от атак

SSL-шифрование Gmail не защищает от атак

Роберт Грэхэм, генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам.

Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что аутентификации используется пара открытый — закрытый ключ, а для сохранения конфиденциальности — секретный ключ. Комбинация всех ключей сохраняет высокую скорость обработки данных.

" data-html="true" data-original-title="SSL" >SSL HTTPS сессии Gmail должны иметь лучшую защиту.

Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register.

Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие».

Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!