網域名稱俱樂部


返回   網域名稱俱樂部 > 網域名稱討論 > 網名新聞與觀察評論

回覆
 
主題工具
  #1  
舊 2008-11-24, 08:05 PM
chennien 的頭像
chennien chennien 目前離線
進階會員
 
註冊日期: 2007-03-15
住址: nien.com
文章: 778
發送 ICQ 消息給 chennien 發送 AIM 消息給 chennien 發送 MSN 消息給 chennien 發送 Yahoo! 消息給 chennien 發送 Skype™ 消息給 chennien
帖子 Gmail 出現安全漏洞

根據一篇刊登在GeekCondition.com的概念驗證報告,Google公司的網路電郵服務Gmail有一安全弱點,可能導致攻擊者在帳戶使用者不知情的狀況下,設立郵件過濾器。

作者Brandon在文中寫道,這個弱點已造成某些透過GoDaddy.com註冊的人失去他們的網域名稱。

Brandon解釋這個弱點可能被利用的方式如下:

當你在個人的Gmail帳號設定過濾器時,你的要求會被送到Google的伺服器處理。這項要求是以挾帶許多變量的url(全球資源定位器)形式送出。基於安全因素,你的瀏覽器不會顯示此url包含的所有變量。使用FireFox和外掛程式Live HTTP Headers,你就能看到從瀏覽器送至Google伺服器的所有變量。

接下來,攻擊者只需辨認出與使用者名稱相同的那個變量。他寫道:「取得這個變量很難,但仍可辦到。我不會告訴你怎麼作,如果你在網路上努力搜尋,你就會找到方法。」

Brandon指出,所謂的"at"變量只要造訪某個惡意網站即可取得。他建議Google讓"at"變量每一次請求更換一次,而非間隔一段時間才更換。

他建議,要避免自己成為受害者,使用者應經常檢查自己的過濾器。Firefox使用者可下載一項名為NoScript的延伸程式,防範這類攻擊。

當然,任何以cookies驗證請求的網站,都可能被同樣的方式利用。要避免成為這種形式弱點的受害者,Gmail使用者要養成不使用時登出的習慣,且不要進入不信任的網站。Google公司尚未對此回應。(陳智文譯)

www.zdnet.com.tw/news/web/0,2000085679,20134574,00.htm
回覆時引用此篇文章
回覆

標籤
gmail, google

主題工具

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 08:35 PM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2019,Jelsoft Enterprises Ltd.