Un attrezzo che ruba automaticamente i IDs delle sessioni e delle
rotture non-encrypted nei clienti della posta del Google è stato
presentato al congresso dei riprogrammatori di Defcon a Las Vegas.
La settimana scorsa Google ha introdotto una nuova caratteristica in
Gmail che permette che gli utenti permanentemente inseriscano lo SSL e
lo usino per ogni azione che coinvolge Gmail e non solo,
l'autenticazione. Gli utenti che non lo hanno acceso ora hanno un
motivo serio fare per Mike Perry, l'assistente tecnico d'inversione da
San Francisco che si è sviluppata l'attrezzo sta progettando di
liberarlo in due settimane.
Quando entrate a Gmail il Web site trasmette un biscotto (una lima
di testo) che contiene la vostra identificazione di sessione al
browser. Questa lima permette affinchè il Web site sappia che siete
autenticato e mantenerlo entrato per due settimane, a meno che colpiate
manualmente il segno fuori abbottoni. Quando avete colpito firmi fuori
questo biscotto è eliminato.
Anche se quando entrate, Gmail forza l'autenticazione sopra lo SSL
(assicuri lo strato di zoccolo), non siete sicuro perché ritorna di
nuovo ad un collegamento unencrypted normale dopo che l'autenticazione
è fatta. Secondo Google questo comportamento è stato scelto a causa
degli utenti di basso-larghezza di banda, poichè i collegamenti dello
SLL sono più lenti.
Il problema si trova con il fatto che ogni volta che accedete a
qualche cosa su Gmail, persino un'immagine, il vostro browser inoltre
trasmette il vostro biscotto al Web site. Ciò permette per un traffico
di fiuto dell'attaccante sulla rete di inserire un'immagine servita da
http://mail.google.com e di forzare il vostro browser trasmettere la
lima del biscotto, così ottenendo la vostra identificazione di
sessione. Una volta che questo accade l'attaccante può entrare al
cliente senza il bisogno di una parola d'accesso. La gente che
controlla il loro email dai punti caldi senza fili pubblici è
ovviamente più probabile ottenere attacata che quelle che usando le
reti metalliche sicure.
Perry ha accennato che ha informato Google circa questa situazione
in un anno fa ed anche se finalmente ha messo a disposizione questa
opzione, lui non è soddisfatto della mancanza di informazioni. “Google
non ha spiegato perché usando questa nuova caratteristica era così
importante„ ha detto. Ha continuato e spiegato le implicazioni
dell'informazione degli utenti, “questo dà la gente che entra
ordinariamente a Gmail a cominciare da una sessione di https:// una
sensazione di sicurezza falsa, perché pensano sono sicure ma non sono
realmente.„
Se stiate entrando al vostro cliente di Gmail dalle posizioni
differenti e voleste trarre giovamento da questa opzione soltanto
quando state usando le reti non garantite, potete forzarli da
https://mail.google.com manualmente di battitura a macchina prima di
voi inizio attività. Ciò accederà alla versione dello SSL di Gmail e
sarà persistente sopra la vostra intera sessione e non solo durante
l'autenticazione.