Belépett állapotban elég a weben egy rosszindulatú linkre kattintani – kábé ennyi kell a GNUCitizen szerint ahhoz, hogy Gmail-fiókunk tartalma (leveleink és kontaktlistánk) illetéktelenek számára is ismert legyen. Bár a módszer egyelőre nincs kielégítően bizonyítva, azért éppen nem hangzik totális fantazmagóriának sem.
[U]sing a cross-site scripting vulnerability (…) the attacker can take over the session cookies for Gmail and subsequently forward all the account’s messages to a POP account
Kézenfekvő ellenszérum lehetne a ZDNet postjában is hivatkozott Firefox + letiltott JavaScript kombó, csakhogy JS-re azért mégiscsak szüksége van a webpolgárnak. Esetleg https? Esetleg imádkozás? Esetleg ha a Google kivizsgálná a jelenséget és nyilatkozna valami megnyugtatót?
Szeptember 27, 2007 at 7:54 pm
esetleg https? ezt nem értem, hiszen a gmailnak van https címe.
Szeptember 27, 2007 at 8:00 pm
Nem arról van szó az eredeti hírben, hogy a nem az összes javascriptet kell tiltani, hanem csak az olyat, ami más domain alól jön (cross-site scripting vulnerability)?
Erre való a NoScript extension.
Szeptember 27, 2007 at 8:02 pm
már régóta meg akartam kérdezi: miért nincsenek lefordítva az idézetek? elvégre ez egy magyar oldal, magyarul szeretnék olvasni. vagy legyen bemásolva/linkelve az egész cikk, és akkor elolvasom angolul, vagy legyen lefordítva.
ez így, se füle se farka.
Szeptember 27, 2007 at 8:10 pm
Azt kell mondanom, hogy ez így elég elkeserítő, már ha így van. Mondjuk nem értem, hogy ha valóban így van ez, akkor miért nem lett a módszer is nyilvánosságra hozva teljes egészében? Vagy a háttérben megy az egyezkedés?
Szeptember 27, 2007 at 8:53 pm
https csak a gmail belepooldalan van, ha jol gondolom. talan epp a better gmail-ben van egy all-https szkript. a js-tiltast annyira keves ember hasznalja, h nyilvanvalo h itt ez nem lehet megoldas. gondoljunk a nem ff-juzerekre is pl.
Szeptember 27, 2007 at 9:23 pm
JS nélkül használni a Gmail felületét eléggé kínszenvedés lenne. Amúgy ha jól értem a megoldás mindössze “annyi”, hogy ne kattintgassunk fura linkekre – ezt pedig eddig is érdemes volt betartani.
Szeptember 27, 2007 at 9:30 pm
legyunk mar tisztaban a fogalmakkal… a https csak azt biztositja, h a szerver kliens kozott secure a kapcsolat, kivulrol nem lehallgathato. attol meg siman lehet futtatni rossz indulatu js-t.
Ha kikapcsolod a js futast, akkor lottek az egesz gmail-nek. szinte minden js-el van megoldva. (attom meg h valami kek es ala van huzva nem biztos, h link, nezzetek meg firebuggal)
amit a kollega emleget az csak annyit tilt h mas domainrol ne lehessen scriptet behuzni az oldalra.
Szeptember 27, 2007 at 10:14 pm
FireFox + Noscript Extension + Better Gmail Extension
Szeptember 27, 2007 at 10:23 pm
A GMail-nek van egy teljesen JS mentes, hagyományos változata is, ha valaki erre gerjed. Egyébként pedig annyi a történet, hogy 1-2 napig nem kell a linkekre kattintgatni esztelenül a rendszerben. A javítás elég triviálisnak hangzik ha csak nincsen valami extra kavar, valószínűleg úton van.
Jelzem, hogy ugyanígy a Google Reader és bármilyen más rendszer is hibás lehet (online RSS olvasók és levelezők), a magyar levelezőkkel az élen.
Szeptember 28, 2007 at 12:32 am
A ZDNet egy másik cikkében CSRF támadást emlegetnek, nem XSS-t. Az ellen meg a JS tiltás nem feltétlenül véd (fajtája válogatja).
A legtutitbb megoldás, hogy az ember nem klikkelget mindenféle ostoba linkre.
Szeptember 28, 2007 at 12:48 am
hirbehozo:
a gmail összes oldalán van https
Szeptember 28, 2007 at 2:44 am
Hat ha eleg bena a GMail, akkor nem is kell ehhez kivulrol belinkelt JS, es abban az esetben a NoScript sem ved. Meg akkor talan mar nem is cross site. (A level torzsebe kell beagyazni a JS-t, es kesz. Lehet, hogy erre figyeltek, es a kivulrol behuzott JS-re meg nem?) Pedig csak a javascript: protokolos linkeket kell kiszerelni a levelekbol.
De ez a trukk tenyleg minden webmail rendszerrel eljatszhato, amelyik nem figyel ra. Kiolvassa a cookie-t, aztan e-mailben hazakuldi. Kozben esetleg a hatterben automatikusan beallitja a fwd-olast (amihez nem kell kikuldeni a cookie-t). A browser nem tudja szurni, mert teljesen legalisnak nez ki a muvelet, megkulonboztethetetlen attol, amit a GMail egyebkent is csinal. Szolgaltatas specifikus GreaseMonkey scripttel viszont pillanatok alatt meg lehet oldani a dolgot (ugyanaz a megoldas, mint amit a szolgaltatonak is csinalnia kene).
Szeptember 28, 2007 at 10:07 am
mail.google.com/mail/
Szeptember 28, 2007 at 10:09 am
“+!%/=()%!/%!/
szóval https + a fenti link, és garantáltan https-sen marad a gmail, és nem csak a login
Szeptember 28, 2007 at 10:14 am
Oké, utánaolvastam egy kicsit a témának. Szóval azok a veszélyes linkek nem a GMail-be jutnak be, hanem bárhol lehetnek a neten, és ha eközben egy másik fülön, vagy úgy általában be vagyunk lépve, akkor képesek betörni a postafiókunkba segítségükkel. Ez már tényleg egy fokkal veszélyesebb történet, és nem feltétlenül olyan triviális javítani sem, mert a rendszer egy bizonyos pontjának a logikáját kell átalakítani. Szóval mukinyúlnak van igaza.
Szeptember 28, 2007 at 10:17 am
Ja, időközben javították. Itt lehet olvasgatni is róla technikaibb szemmel:
http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
És ott az a bizonyos link is, ami immár nem műküdik.
Szeptember 28, 2007 at 12:11 pm
Nos ahogy ezt egy biztonsági kérdésekkel foglalkozó ismerősöm fogalmazta, a gmail arra való, hogy a sörözés helyét és időpontját megbeszéljem a haverokkal. Ha valaki elolvassa, maximum egyel többen leszünk.
(Ha más nem a google mindenképp olvassa a leveleidet, különben nem tudna hirdetéseket pattintani mellé:-)
Amúgy meg használj nyilvános jelkulcsú titkosítást és saját szervert, ha paranoiás vagy. De semmiképp se forwardold ki a gmailre a plain text leveleidet amiben a kartel megállapodás van, különben fizetheted a 100M-os bírságot
Szeptember 28, 2007 at 10:35 pm
Én mindenkinek el szoktam olvasni a levelét, nem csak a gmailesekét. Dehát ez a munkámmal együtt jár.
Szeptember 29, 2007 at 3:15 am
> Amúgy meg használj nyilvános jelkulcsú titkosítást és saját
> szervert, ha paranoiás vagy.
Csak nehogy veletlenul egy CSRF-fel megszivathato webmailen keresztul tedd ezt…