tech-sjh

2008年8月12日 星期二

Gmail https 與 http 連線安全漏洞 - 永遠使用 https

一般常用 Gmail 來作網路郵件的使用者,可能
都還是習慣使用 http 連線來閱讀你的電子郵件
,然而你所不知道的是 http 連線閱讀電子郵件
會讓你所有隱私 email 被網路上的竊聽器看光
光,所有你不想被知道的隱私與祕密都將被一
覽無遺。

因此為了在閱讀 Gmail 電子郵件時有安全的連
線,有了 https 的連線:

https://mail.google.com/mail/

要通過 https 的連線,才不會讓你在閱讀電子
郵件時無意間跟大家"分享"了 XD

然而這樣就足夠安全了嗎?很不幸的,就算你
是使用 https 連線,還是可能遭到連線劫持的
攻擊。因為 Gmail 採用的 cookie 連線資訊存
檔時並沒有使用 https 的方式進行連線。

如果你以為這只是理論的話就錯了 XD 因為在
最新的 Defcon 16 中,Mike Perry 發現了這個
安全漏洞並在一年前就通知 Google 進行改善
,這一年來 Mike Perry 也沒閒著,他寫個一
個小工具程式證明這個漏洞,並計劃在兩個星
期內公開這個程式。

為了要保護 Cookie 檔案的安全儲存,Google
提供了一個新的選項幫我們做到這項安全設定
,那就是 永遠使用 https 這個選項。設定方法
如下兩個步驟就完成:

一、點選 Gmail 主視窗的右上設定選項


二、進入設定頁面後,點選永遠使用 https
個選項。



如此就可以保護你的 Gmail 連線不受到惡意攻
擊。

相關文章:

Google 推網站安全掃描軟體 ratproxy

相關連結:

New tool to automate cookie stealing from
gmail and others...


New tool to automate cookie stealing from
gmail, facebook, amazon ...etc


Official Gmail Blog: Making security easier

Enabling the HTTPS setting

沒有留言:

張貼留言

版權宣告、免責聲明


創用 CC 授權條款
本著作係採用創用 CC 姓名標示-非商業性-相同方式分享 4.0 國際 授權條款授權.
免責聲明: 本文所載資料僅供參考,並不構成投資建議,
讀者閱讀或使用該資料所導致結果需要自擔風險與責任,
作者概不承擔閱讀人行為之任何風險與責任。
除非有特別宣稱,作者言論並不代表所屬任何團體、公司、或其他人意見。