Gmail легко сломать через хотспоты
🕛 04.02.2008, 12:00
В трясине Интернета в целом и Web 2.0 в частности Gmail длительное время оставался своеобразной зоной безопасности, где пользователь был спокоен за свою информацию. Похоже, что оно уже прошло, сообщает The Register. Президент Errata Security Роберт Грэхэм заявил, что SSL HTTPS сессии Gmail обязаны иметь на уровень лучшую защиту, в противном случае злоумышленники смогут получить доступ к информации любого пользователя.
Он в частности отметил, что наибольшую угрозу представляет собой использование почты с помощью публичных хотспотов. "В таком случае Gmail предпочитает использовать SSL, но в случае нестабильного соединения переходит к небезопасному HTTP, что дает мне возможность получить доступ к так называемым временным файлам, с помощью которых я могу вернуться в пользовательский аккаунт, даже после того как он закончит работу. В таком случае не придется даже вводить, а тем более расшифровывать пароль, все крайне просто", - заявил Грэхэм.
Также он добавил, что верно использующие технологию SSL компании могут не волноваться, так как в таком случае данные их пользователей полностью защищены, но такие сайты как Gmail и Amazon, по мнению аналитика, не обеспечивают необходимой безопасности. Роберт Грэхэм протестировал огромное количество вебдванольных сайтов и пришел к выводу, что только Salesforce удалось устоять. "Могу сказать лишь, что они потратили достаточное количество времени для строительства грамотной защиты", - сказал он.
Справедливости ради нужно отметить, что Google все еще предоставляет намного лучшую защиту, нежели Yahoo!, MySpace, Facebook и другие вебдванольные сервисы, потому как Gmail и прочие аккаунт-ориентированные сервисы Google, поддерживающие SSL, шифруют всю информацию, которая передается во время сессии. Большинство сайтов шифруют данные только при логине, а затем быстро перестают защищать данные, как только пользователь был опознан.
Свои рассуждения по поводу безопасности Роберт Грэхэм представил публике еще две недели назад в блоге Errata Security, но широкое обсуждения проблема получила лишь после упоминания статьи Грэхэма Джорджем Оу в блоге Zero Day. Представители Google сообщили, что ознакомлены с рассуждениями Грэхэма и на сейчас проверяют озвученные факты.