Gmail启用SSL加密会话的充分理由
互联网 / houtizong 发布于 3年前 20
拉斯维加斯举行的Defcon黑客大会上展示了一种工具,能自动窃取Google Mail非加密会话ID,并进而攻占邮箱。来自旧金山的逆向工程师Mike Perry开发了这一工具,并计划在两周内发布,他表示没有选择SSL的用户现在需要认真对待。当用户登录Gmail 时,网站会向浏览器发送包含ID的cookie文件,它将保留两周时间,除非你选择退出。问题在于:每次你访问Gmail,即使是上面的一幅图像,浏览器都会向网站发送cookie文件,这就是使得攻击者能够嗅探通话,通过植入http://mail.google.com上的图像诱使浏览器发送cookie,从而获得你的ID。当这一切发生之后,攻击者无需密码就可登录邮箱。Google在上个礼拜介绍了Gmail的新特性,允许用户永久选择SSL,除验证之外,它将加密Gmail内的所有操作。但Perry抱怨Google不透明,“Google没有解释为什么这项功能是如此重要”。
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成
网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];
文章归档
文章标签
友情链接
