Nov 24 2008
Gmail åpen for hackere?
Vel, det er visstnok konklusjonen etter at et “proof-of-concept” ble lagt ut, med oppskrift på hvordan websider med ondsinnet kode kan ta over sesjonsnøkkelen din, og bruke dette for å sette opp filtre på din Gmail-konto, som bl.a. kan gjøre det mulig å videresende epost fra gitte avsendere til en annen konto, uten at eieren av Gmail-kontoen ser noe til denne eposten noensinne.
Hele denne historien er basert på tyveriet av MakeUseOf.com’s domene, som man kan finne beskrevet her, her og her.
Er det grunn til å være bekymret? Kanskje. Dersom du bruker Gmail til all epost, og benytter webapplikasjonen, så kan du være åpen for slike angrep. Det er dog en del antagelser og ganske mange ting som må klaffe før dette skal være noe som skal ramme deg.
- Du må ha en Gmail-konto, som du benytter via web
- Du må besøke en side som inneholder den ondsinnede koden – selv om det kan være særdeles vanskelig å vite om en side inneholder slikt, så er sannsynligheten veldig lav, særlig om du i hovedsak bruker sider som ikke er i den tvilsomme kategorien.
- Du bør, dersom du bruker Gmail via http:// slutte med dette øyeblikkelig. Det vil dog ikke hjelpe nevneverdig om du skriver https://gmail.com – du må gå inn på innstillingene i Gmail og velge å alltid bruke sikker tilkobling – altså https/SSL.
Selvsagt er dette kjipt for de som har blitt rammet. Det er vel heller ingen tvil om at Gmail / Google trenger å fikse dette problemet en gang for alle, men i hovedsak er det snakk om litt slapp sikkerhetstenking hos brukerne (og hos Google, som setter Gmail til å bruke http:// som standard). Som det sies i en av artiklene ovenfor, mye av grunnen til at Gmail ble nevnt i overskriften var for å skape mer interesse – tittelen på sakene har alt å si for om den blir besøkt eller ikke.
Så, dermed blir Digis artikkel og tittel forståelig, selv om de etter min mening krisemaksimerer her. Gmail er ikke verre enn andre tilbydere, og det har lite eller ingenting å si om man benytter gratistjenester eller betalingstjenester – sikkerhetshull og potensielle fallgruver kan finnes hos alle.
Jeg kommer nok til å fortsette å benytte Gmail, dog med SSL (https://), for å unngå nettopp slike ting som dette.
Tags: cracking, domene, epost, exploit, Gmail, Google, hacking, hull, sikkerhet
Shamini November 24th, 2008 18:25
Jeg liker Gmail, og bruker nå denne til all mailen min. Dette begynte jeg med når jeg flytta hit, fordi jeg ikke orka å sende mail til styret med mailadressen min for å få åpna for utgående mail – snakker om styr! Jeg bruker også https://, og er storfornøyd med både mail og kalender-funksjonen.
Shaminis siste ytring: En trøstende Handledemon
[Reply]
PoPSiCLe Reply:
November 24th, 2008 at 18:35
Whut? Mail til styret for å åpne for utgående mail? Uhm… nazikontroll? Eller hva pokker?
Uansett, Gmail er genialt enkelt, og selv om det nok kan være enkelte ting som ikke er 100% sikkert, så tror jeg nok ikke problemet er så enormt som oppslagene jeg linker til skal ha det til.
[Reply]
Shamini Reply:
November 25th, 2008 at 14:18
Jeg vet ikke hva grunnen er egentlig, men man må iallfall sende en mail til sameiestyret med mailadressen sin for å kunne bruke mailprogrammer. Så jeg tok i bruk Gmail istedet.
Shaminis siste ytring: Tordenbloggen 2008: 1. runde, 14. pulje
[Reply]
PoPSiCLe Reply:
November 25th, 2008 at 15:55
Ooook. Jeg kan ikke for mitt bare liv skjønne hva i all verden det skal være godt for, men ok
Gmail it is! 
Runa November 24th, 2008 20:48
Dette gjelder da ikke bare Gmail, men alle sider som ikke støtter SSL og som krever noen form for innlogging.
[Reply]
PoPSiCLe Reply:
November 24th, 2008 at 23:44
Mnja. Det gjelder alle sider som gir mulighet for å bruke cookies til å stjele session-info – det er ikke nødvendigvis noe man kan gjøre, selv om siden ikke bruker SSL.
[Reply]
Vania November 26th, 2008 11:32
Kan du hjelpe meg å legge inn SSL?
Føler meg litt blond for tiden…
[Reply]
PoPSiCLe Reply:
November 26th, 2008 at 12:27
Sure
Du går inn på Gmail-kontoen, velger “Settings” i menyen oppe til høyre, blar helt ned på “General”-taben (default-taben) og velger “Always use https” – det er alt.
[Reply]