ثبت شده توسط علي مرادي
 تاريخ ثبت: 1387/09/05 - 2:57:07
 تعداد نمايش: 151

افزودن به Digg

امنيت آسيب پذير Gmail اين امکان را به نفوذگران داد تا فيلترهاي خود را بدون آگاهي روي ايميل ها برپا کنند.

اين خبر يکشنبه بعنوان يک دليل و راهکار در بلاگ Geek Condition فرستاده شد.
در يک نوشته در Geek Condition's از Brandon ذکر شده است که آسيب پذيري درباره افرادي که دامنه اي به وسيله GoDaddy.com ثبت کرده و از دست داده اند بحث مي کند.

بدون اينکه بخواهيم کل ماجراي نفوذ را براي شما تعريف نماييم، Brandon با تکيه بر موضوع بدست آوردن متغيرهايي که نام کاربري و "at" را نشان مي دهند، توضيحاتي در اين باره به صورت زير بيان کرده است:

«هنگامي که شما يک فيلتر در Gmail خود مي سازيد درخواست شما براي پردازش به سرور هاي Google فرستاده مي شود. درخواست در قالبي از يک URL که داراي تعدادي متغير است تشکيل مي شود. به دلايل امنيتي، مرورگر نمي تواند همه متغيرهاي موجود در URL را نشان دهد. با استفاده از Firefox و يک plug-in که Live HTTP Headers ناميده مي شود، شما مي توانيد به درستي ببينيد که چه متغيرهايي به وسيله مرورگر شما به سرورهاي Google فرستاده مي شود.»

بعد از آن، يک نفوذگر فقط به شناسه متغيري که برابر با نام کاربري است احتياج دارد.

او نوشته است که «بدست آوردن اين متغير دشوار است اما به طور قطعي امکان پذير است. من تصميم ندارم که چگونگي انجام اين کار را به شما بگويم، اما اگر شما در اينترنت به دقت جستجو کنيد، چگونگي انجام آن را خواهيد يافت.»

متغير "at" مي تواند به وسيله مشاهده يک وب سايت حيله گر بدست آيد، Brandon همچنين نوشته است که Google متغير "at" را پس از هر درخواست سريع تر از جلسه کاري (Session) از بين مي برد.

Brandon اشاره دارد، براي در امان ماندن از يک آسيب پذيري، کاربران مي بايست اغلب فيلترهايشان را بررسي نمايند. او مي گويد، کاربران Firefox مي توانند يک ابزار جانبي (Extension) به نام NoScript که در اين حمله ها به اشخاص کمک مي کند را دانلود نمايند.

البته هر سايتي که از Cookieها براي تأييد درخواست ها استفاده مي کند، مي تواند داراي مزايايي باشد که در اين مورد سودمند واقع مي گردد. براي در امان ماندن از اين نوع نفوذ، کاربران Gmail وقتي که حسابشان بلا استفاده است بايد از حسابشان خارج شوند و البته نبايد به وب سايت هايي که مورد اطمينان نيستند وارد شوند.

بنا به گفته يکي از نمايندگان Google اين شرکت در تلاش است تا با Brandon براي مشخص کردن دلايل وي در مورد عقيده اش تماس حاصل نمايد.

اين نماينده مي گويد «ما در تلاشيم تا به بلاگري که اين ادعا را کرده براي دانستن جزئيات بيشتر دسترسي پيدا کنيم، اما ما مدرکي براي اينکه به Gmail مربوط مي شود را نديده ايم.» همچنين در ادامه افزود «ما از متدهاي صنعتي استاندارد همانند اکثر سرويس هاي وب که از HTTP استفاده مي کنند براي محافظت از کوکي ها بهره مي بريم. در حقيقت، ما تدابير امنيتي بيشتري با ارائه گزينه اي از يک کانکشن امن (HTTPS) در سرتاسر جلسه کاري(Session) تا آزاد شدن آن در نظر گرفته ايم.»

افزودن به Digg

نظرات كاربران در مورد اين خبر ()

hamed نوشته است: ممنون علي جان، عالي بود. البته بعيد به نظر ميرسه گوگل چنين امکاني رو در اختيار نفوذگران گذاشته باشه! البته خبر از سايت معتبري ترجمه شده + سه شنبه 05 آذر 1387 - 10:07:48 قبل از ظهر ali_gtp نوشته است: خواهش مي کنم حامدجان. بايد يه تشکر ويژه از خودت داشته باشم که من رو در ترجمه اين خبر کمک کردي. + سه شنبه 05 آذر 1387 - 10:19:32 قبل از ظهر amin282 نوشته است: این همه تعریف از گوگل ما شنیدیم پس چی شد؟ اخه این رو شنیدم که جی میل از همه ی میل ها امنیتش بیشتره؟ در کل جی میل بهتره یا یاهو؟ مرسی + سه شنبه 05 آذر 1387 - 05:58:50 بعد از ظهر hamed نوشته است: "این همه تعریف از گوگل ما شنیدیم پس چی شد؟" تا بحال از اينطور خبرهاي جنجالي در مورد گوگل زياد مطرح شده ولي تا الان که هيچ کدوم هم صحت نداشته يا اگه داشته اند سريعا توسط گوگل محار شده اند. "در کل جی میل بهتره یا یاهو؟" من خودم به شخصه Gmail رو ترجيح ميدم، هم بخاطر امکانات زيادي که داره و هم بخاطر ظاهر ساده و در عين حال پرکاربرد اون. + سه شنبه 05 آذر 1387 - 06:30:38 بعد از ظهر SilaS نوشته است: مرسی ! + چهارشنبه 06 آذر 1387 - 11:23:52 قبل از ظهر براي ارسال نظر اين لينك را كليك نماييد.