Опубликовано 4 февраля, 200818 г Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту. Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register. Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие». Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов. _ttp://www.cnews.ru/news/line/index.shtml?2008/02/01/286201
Опубликовано 4 февраля, 200818 г Без официально выданного и привязанного к логину и паролю сертификата SSL ни разу не секьюрный. Ну а то что Грехем демонстрировал На БлекХат конфе, в 99% случаев не сработает без любимой "галочки" запомнить.
Опубликовано 5 февраля, 200818 г Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту. Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register. Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие». Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов. _ttp://www.cnews.ru/news/line/index.shtml?2008/02/01/286201 И опять - смотрим первоисточник (_ttp://erratasec.blogspot.com/2008/01/more-sidejacking.html) На самом деле проблема в том, что 1)во многих бесплатных хотспотах используется аутентификация для доступа в Интернет 2) JS от Gmail в браузере поддерживает как HTTPS, так и HTTP и переключается на HTTP, если есть проблемы соединения с HTTP 3) пользователь подключается к хотспоту и сразу лезет на Gmail, не аутентифицировавшись на хотспоте В результате браузер устанавливает незашифрованное соединение с Gmail, которое можно легко перехватить любым сниффером (тем же Wireshark) именно сочетание всего этого и проводит к возможности утащить идентификатор сессии Gmail, когда в результате соединение идет по HTTP SSL is not always complete. A good example is Gmail. In theory, using the HTTPS version of Gmail should protect you by going to https://mail.google.com/mail, but this doesn't work as you think. The JavaScript code uses an XMLHttpRequest object to make HTTP requests in the background. These are also SSL encrypted by default - but they become unencrypted if SSL fails. When you open your laptop and connect to a WiFi hotspot, it usually presents you with a login page, or a page that forces you to accept their terms and conditions. During this time, SSL will be blocked. Gmail will therefore backoff and attempt non-SSL connections. These also fail - but not before disclosing the cookie information that allow hackers to sidejack your account.
Опубликовано 18 февраля, 200818 г Автор Русские спам-боты взломали защиту Google Mail Вслед за взломом защиты от автоматической регистрации почтовых ящиков (captcha) в почтовых системах Yahoo! и Microsoft Live стало известно о том, что аналогичная защита в Google Mail тоже взломана. Очевидно, результатом станет увеличение количества спама с адресов этой веб-почты. Пример работы вредоносного кода, взламывающего капчу Google Mail, опубликован на днях в блоге экспертов по безопасности urs-molotoff.blogspot.com. Спамерский бот распространяется как троян, то есть заражает компьютеры пользователей и оттуда атакует Gmail - скачивает капчу на сервер, сервер распознает капчу и отдает боту, бот регистрирует ящик и начинает слать спам. В приведенном примере скрыт адрес сервера, к которому бот обращается за инструкциями. Однако эксперты, перехватившие данную сессию, сказали, что спаммерский бот "имеет привязку к сайту на русском языке". Напомним, что ранее в январе некая "группа российских исследователей" сообщила о взломе captcha-системы на сайте Yahoo! Вероятность успешного распознавания при этом составляет 35% (то есть каждая третья попытка бота может быть успешной). А на этой неделе стало известно о взломе аналогичной защиты в Windows Live. До недавнего времени защита этих сервисов считалось надежной, и производители спам-защиты не вносили их в свои "черные списки". Теперь ситуация иная: если до взлома антиспам-фильтры Websense блокировали менее 100 аккаунтов Windows Live в день, то сейчас счет идет на тысячи. Отдельные западные блоггеры на днях также отметили увеличение количества спама не только с Hotmail и Yahoo, но и с почтовых аккаунтов Google Mail. _ttp://www.securitylab.ru/news/313364.php
Опубликовано 24 февраля, 200818 г Мда. Как-то это малооптимистично - но я знаю случаи, когда и без заветной галочки впоследствии удавалось проникнуть в ящик.
Для публикации сообщений создайте учётную запись или авторизуйтесь