顯示具有 cookie 標籤的文章。 顯示所有文章
顯示具有 cookie 標籤的文章。 顯示所有文章

2008年8月12日 星期二

Gmail https 與 http 連線安全漏洞 - 永遠使用 https

一般常用 Gmail 來作網路郵件的使用者,可能
都還是習慣使用 http 連線來閱讀你的電子郵件
,然而你所不知道的是 http 連線閱讀電子郵件
會讓你所有隱私 email 被網路上的竊聽器看光
光,所有你不想被知道的隱私與祕密都將被一
覽無遺。

因此為了在閱讀 Gmail 電子郵件時有安全的連
線,有了 https 的連線:

https://mail.google.com/mail/

要通過 https 的連線,才不會讓你在閱讀電子
郵件時無意間跟大家"分享"了 XD

然而這樣就足夠安全了嗎?很不幸的,就算你
是使用 https 連線,還是可能遭到連線劫持的
攻擊。因為 Gmail 採用的 cookie 連線資訊存
檔時並沒有使用 https 的方式進行連線。

如果你以為這只是理論的話就錯了 XD 因為在
最新的 Defcon 16 中,Mike Perry 發現了這個
安全漏洞並在一年前就通知 Google 進行改善
,這一年來 Mike Perry 也沒閒著,他寫個一
個小工具程式證明這個漏洞,並計劃在兩個星
期內公開這個程式。

為了要保護 Cookie 檔案的安全儲存,Google
提供了一個新的選項幫我們做到這項安全設定
,那就是 永遠使用 https 這個選項。設定方法
如下兩個步驟就完成:

一、點選 Gmail 主視窗的右上設定選項


二、進入設定頁面後,點選永遠使用 https
個選項。



如此就可以保護你的 Gmail 連線不受到惡意攻
擊。

相關文章:

Google 推網站安全掃描軟體 ratproxy

相關連結:

New tool to automate cookie stealing from
gmail and others...


New tool to automate cookie stealing from
gmail, facebook, amazon ...etc


Official Gmail Blog: Making security easier

Enabling the HTTPS setting