Dziura w Gmail

Izraelscy hakerzy ujawnili, że na dowolne konto w darmowej poczcie Google - do Gmail można zalogować się nie znając hasła właściciela.

Do uwierzytelnienia użytkownika było wykorzystywane "cookie" ustawiane w przeglądarce klienta przez serwer Google po poprawnym podaniu nazwy użytkownika i hasła.

Błąd polegał na tym, że pochodzenie tego "cookie" nie było przez serwer sprawdzane i możliwa była jego kradzież za pomocą odpowiednio spreparowanej strony WWW. Właściciel strony w którą wpadły takie "cookies" mógł logować się na konta ofiar bez znajomości ich haseł.

Błąd został poprawiony przez Google wkrótce po jego ujawnieniu i jak zapewnił rzecznik firmy Nathan Tyler, jego ofiarą padło tylko kilku użytkowników usługi. Serwis Gmail jest wciąż w fazie "beta", dlatego szkody spowodowane odkryciem dziury nie były zbyt duże.

Niewątpliwie zostało jednak podkopane zaufanie do Google jako firmy, której aplikacje sieciowe nie miały do tej pory problemów z bezpieczeństwem.

Więcej informacji: http://www.aquick.org/blog/index.php?p=135

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.