#1
|
||||
|
||||
Gmail 出現安全漏洞
根據一篇刊登在GeekCondition.com的概念驗證報告,Google公司的網路電郵服務Gmail有一安全弱點,可能導致攻擊者在帳戶使用者不知情的狀況下,設立郵件過濾器。
作者Brandon在文中寫道,這個弱點已造成某些透過GoDaddy.com註冊的人失去他們的網域名稱。 Brandon解釋這個弱點可能被利用的方式如下: 當你在個人的Gmail帳號設定過濾器時,你的要求會被送到Google的伺服器處理。這項要求是以挾帶許多變量的url(全球資源定位器)形式送出。基於安全因素,你的瀏覽器不會顯示此url包含的所有變量。使用FireFox和外掛程式Live HTTP Headers,你就能看到從瀏覽器送至Google伺服器的所有變量。 接下來,攻擊者只需辨認出與使用者名稱相同的那個變量。他寫道:「取得這個變量很難,但仍可辦到。我不會告訴你怎麼作,如果你在網路上努力搜尋,你就會找到方法。」 Brandon指出,所謂的"at"變量只要造訪某個惡意網站即可取得。他建議Google讓"at"變量每一次請求更換一次,而非間隔一段時間才更換。 他建議,要避免自己成為受害者,使用者應經常檢查自己的過濾器。Firefox使用者可下載一項名為NoScript的延伸程式,防範這類攻擊。 當然,任何以cookies驗證請求的網站,都可能被同樣的方式利用。要避免成為這種形式弱點的受害者,Gmail使用者要養成不使用時登出的習慣,且不要進入不信任的網站。Google公司尚未對此回應。(陳智文譯) www.zdnet.com.tw/news/web/0,2000085679,20134574,00.htm |