Dziura w Gmail
- Paweł Krawczyk,
- 04.11.2004, godz. 10:10
Izraelscy hakerzy ujawnili, że na dowolne konto w darmowej poczcie Google - do Gmail można zalogować się nie znając hasła właściciela.
Do uwierzytelnienia użytkownika było wykorzystywane "cookie" ustawiane w przeglądarce klienta przez serwer Google po poprawnym podaniu nazwy użytkownika i hasła.
Błąd polegał na tym, że pochodzenie tego "cookie" nie było przez serwer sprawdzane i możliwa była jego kradzież za pomocą odpowiednio spreparowanej strony WWW. Właściciel strony w którą wpadły takie "cookies" mógł logować się na konta ofiar bez znajomości ich haseł.
Błąd został poprawiony przez Google wkrótce po jego ujawnieniu i jak zapewnił rzecznik firmy Nathan Tyler, jego ofiarą padło tylko kilku użytkowników usługi. Serwis Gmail jest wciąż w fazie "beta", dlatego szkody spowodowane odkryciem dziury nie były zbyt duże.
Niewątpliwie zostało jednak podkopane zaufanie do Google jako firmy, której aplikacje sieciowe nie miały do tej pory problemów z bezpieczeństwem.
Więcej informacji: http://www.aquick.org/blog/index.php?p=135