Сигурност при услугите на Google
August 25th, 2008 от 
singu
Съвсем доскоро Gmail имаше гадният навик да използва HTTPS само докато се логнете, след което сесията ставаше обикновен HTTP ( т.е. без допълнително криптиране ). Недостатъка на това е, че позволява прехващане на пощата, която четете и пишете от някой любопитко по пътя между вас и сървърите на Google. Решението бе да използвате нещо от рода на плъгина за Firefox - Customise Google, една от функциите на който е да “насили” сървърите на Google да използват HTTPS. За щастие обаче миналата седмица екипът на Gmail най-накрая пусна и настройка в самият Gmail да се ползва криптиране:
Силно е препоръчително да активирате тази опция ( по подразбиране не е активна ), защото на последният DefCon беше обявен инструмент за автоматизирано прехващане на сесиите към Gmail. Инструмента е разработен от Mike Perry и позволява с относително прост трик да се прехване Session ID на сесията към Gmail. Имайки този номер, инструмента може да се логне във пощата и да смени паролата, като по този начин ефективно присвоява пощенската кутия ( с всички последствия, произтичащи от това ). Инструмента ще бъде публично достъпен след две седмици, така че все още имате време да щракнете 2 пъти с мишката и да си пуснете HTTPS-a.
Подобни статии:
Публикувано в Сигурност | 
