拉斯維加斯舉行的Defcon黑客大會(huì)上展示了一種工具,能自動(dòng)竊取Google Mail非加密會(huì)話ID,并進(jìn)而攻占郵箱.來(lái)自舊金山的逆向工程師Mike Perry開(kāi)發(fā)了這一工具,并計(jì)劃在兩周內(nèi)發(fā)布,他表示沒(méi)有選擇SSL的用戶現(xiàn)在需要認(rèn)真對(duì)待.當(dāng)用戶登錄Gmail 時(shí),網(wǎng)站會(huì)向?yàn)g覽器發(fā)送包含ID的cookie文件,它將保留兩周時(shí)間,除非你選擇退出.

問(wèn)題在于:每次你訪問(wèn)Gmail,即使是上面的一幅圖像,瀏覽器都會(huì)向網(wǎng)站發(fā)送cookie文件,這就是使得攻擊者能夠嗅探通話,通過(guò)植入http://mail.google.com上的圖像誘使瀏覽器發(fā)送 cookie,從而獲得你的ID.當(dāng)這一切發(fā)生之后,攻擊者無(wú)需密碼就可登錄郵箱.Google在上個(gè)禮拜介紹了Gmail的新特性,允許用戶永久選擇 SSL,除驗(yàn)證之外,它將加密Gmail內(nèi)的所有操作.但Perry抱怨Google不透明,“Google沒(méi)有解釋為什么這項(xiàng)功能是如此重要”.

訪問(wèn):Gmail Account Hacking Tool

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的Gmail有充分理由启用SSL加密会话的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。