Игорь Нежданов Опубликовано 4 февраля, 2008 Поделиться Опубликовано 4 февраля, 2008 Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту. Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register. Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие». Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов. _ttp://www.cnews.ru/news/line/index.shtml?2008/02/01/286201 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 4 февраля, 2008 Поделиться Опубликовано 4 февраля, 2008 Без официально выданного и привязанного к логину и паролю сертификата SSL ни разу не секьюрный. Ну а то что Грехем демонстрировал На БлекХат конфе, в 99% случаев не сработает без любимой "галочки" запомнить. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 5 февраля, 2008 Поделиться Опубликовано 5 февраля, 2008 Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту. Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register. Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие». Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов. _ttp://www.cnews.ru/news/line/index.shtml?2008/02/01/286201 И опять - смотрим первоисточник (_ttp://erratasec.blogspot.com/2008/01/more-sidejacking.html) На самом деле проблема в том, что 1)во многих бесплатных хотспотах используется аутентификация для доступа в Интернет 2) JS от Gmail в браузере поддерживает как HTTPS, так и HTTP и переключается на HTTP, если есть проблемы соединения с HTTP 3) пользователь подключается к хотспоту и сразу лезет на Gmail, не аутентифицировавшись на хотспоте В результате браузер устанавливает незашифрованное соединение с Gmail, которое можно легко перехватить любым сниффером (тем же Wireshark) именно сочетание всего этого и проводит к возможности утащить идентификатор сессии Gmail, когда в результате соединение идет по HTTP SSL is not always complete. A good example is Gmail. In theory, using the HTTPS version of Gmail should protect you by going to https://mail.google.com/mail, but this doesn't work as you think. The JavaScript code uses an XMLHttpRequest object to make HTTP requests in the background. These are also SSL encrypted by default - but they become unencrypted if SSL fails. When you open your laptop and connect to a WiFi hotspot, it usually presents you with a login page, or a page that forces you to accept their terms and conditions. During this time, SSL will be blocked. Gmail will therefore backoff and attempt non-SSL connections. These also fail - but not before disclosing the cookie information that allow hackers to sidejack your account. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Игорь Нежданов Опубликовано 18 февраля, 2008 Автор Поделиться Опубликовано 18 февраля, 2008 Русские спам-боты взломали защиту Google Mail Вслед за взломом защиты от автоматической регистрации почтовых ящиков (captcha) в почтовых системах Yahoo! и Microsoft Live стало известно о том, что аналогичная защита в Google Mail тоже взломана. Очевидно, результатом станет увеличение количества спама с адресов этой веб-почты. Пример работы вредоносного кода, взламывающего капчу Google Mail, опубликован на днях в блоге экспертов по безопасности urs-molotoff.blogspot.com. Спамерский бот распространяется как троян, то есть заражает компьютеры пользователей и оттуда атакует Gmail - скачивает капчу на сервер, сервер распознает капчу и отдает боту, бот регистрирует ящик и начинает слать спам. В приведенном примере скрыт адрес сервера, к которому бот обращается за инструкциями. Однако эксперты, перехватившие данную сессию, сказали, что спаммерский бот "имеет привязку к сайту на русском языке". Напомним, что ранее в январе некая "группа российских исследователей" сообщила о взломе captcha-системы на сайте Yahoo! Вероятность успешного распознавания при этом составляет 35% (то есть каждая третья попытка бота может быть успешной). А на этой неделе стало известно о взломе аналогичной защиты в Windows Live. До недавнего времени защита этих сервисов считалось надежной, и производители спам-защиты не вносили их в свои "черные списки". Теперь ситуация иная: если до взлома антиспам-фильтры Websense блокировали менее 100 аккаунтов Windows Live в день, то сейчас счет идет на тысячи. Отдельные западные блоггеры на днях также отметили увеличение количества спама не только с Hotmail и Yahoo, но и с почтовых аккаунтов Google Mail. _ttp://www.securitylab.ru/news/313364.php Ссылка на комментарий Поделиться на другие сайты More sharing options...
antonidze Опубликовано 24 февраля, 2008 Поделиться Опубликовано 24 февраля, 2008 Мда. Как-то это малооптимистично - но я знаю случаи, когда и без заветной галочки впоследствии удавалось проникнуть в ящик. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.