拉斯维加斯举行的Defcon黑客大会上展示了一种工具,能自动窃取Google Mail非加密会话ID,并进而攻占邮箱。来自旧金山的逆向工程师Mike Perry开发了这一工具,并计划在两周内发布,他表示没有选择SSL的用户现在需要认真对待。
当用户登录Gmail 时,网站会向浏览器发送包含ID的cookie文件,它将保留两周时间,除非你选择退出。问题在于:每次你访问Gmail,即使是上面的一幅图像,浏览器都会向网站发送cookie文件,这就是使得攻击者能够嗅探通话,通过植入http://mail.google.com上的图像诱使浏览器发送 cookie,从而获得你的ID。当这一切发生之后,攻击者无需密码就可登录邮箱。Google在上个礼拜介绍了Gmail的新特性,允许用户永久选择 SSL,除验证之外,它将加密Gmail内的所有操作。但Perry抱怨Google不透明,“Google没有解释为什么这项功能是如此重要”。
Gmail有充分理由启用SSL加密会话
发布: 2008-8-21 15:30 | 作者: 芝麻黑客 | 来源: ZmHacker.Com | 查看: 4次
