Gmail 出現安全漏洞
 

根據一篇刊登在GeekCondition.com的概念驗證報告，Google公司的網路電郵服務Gmail有一安全弱點，可能導致攻擊者在帳戶使用者不知情的狀況下，設立郵件過濾器。

作者Brandon在文中寫道，這個弱點已造成某些透過GoDaddy.com註冊的人失去他們的網域名稱。

Brandon解釋這個弱點可能被利用的方式如下：

當你在個人的Gmail帳號設定過濾器時，你的要求會被送到Google的伺服器處理。這項要求是以挾帶許多變量的url（全球資源定位器）形式送出。基於安全因素，你的瀏覽器不會顯示此url包含的所有變量。使用FireFox和外掛程式Live HTTP Headers，你就能看到從瀏覽器送至Google伺服器的所有變量。

接下來，攻擊者只需辨認出與使用者名稱相同的那個變量。他寫道：「取得這個變量很難，但仍可辦到。我不會告訴你怎麼作，如果你在網路上努力搜尋，你就會找到方法。」

Brandon指出，所謂的"at"變量只要造訪某個惡意網站即可取得。他建議Google讓"at"變量每一次請求更換一次，而非間隔一段時間才更換。

他建議，要避免自己成為受害者，使用者應經常檢查自己的過濾器。Firefox使用者可下載一項名為NoScript的延伸程式，防範這類攻擊。

當然，任何以cookies驗證請求的網站，都可能被同樣的方式利用。要避免成為這種形式弱點的受害者，Gmail使用者要養成不使用時登出的習慣，且不要進入不信任的網站。Google公司尚未對此回應。（陳智文譯）

www.zdnet.com.tw/news/web/0,2000085679,20134574,00.htm