Дыры в GMail?

Nov. 4th, 2009 11:02 am
porokh: (Default)
[personal profile] porokh
Давно слыхал краем уха, что в GMail не всё в порядке с безопасностью, и вот сегодня столкнулся лично. Коллега в браузере Opera 9.26 ввёл в строке поиска "карта киева", загрузилась страница Google; и на ней он случайно ткнул мышкой в ссылку "GMail". И сразу же попал в почтовый ящик некоего Х., человека из Москвы, который недавно приезжал к нам в командировку. Но он вроде не подходил к компьютеру коллеги; и вариант с "совместным использованием прокси" тоже не проходит -- Х. работал через MS ISA, а коллега через NAT.

В общем, GMail через веб лучше не использовать, а если приходится, то только через https:// и обязательно Sign Out делать. Некоторые, правда, говорят что вообще гугловскими продуктами пользоваться не следует, но каковы альтернативы?

UPDATE: Применение 2-й степени устрашения показало, что GMail невиновен: Х. таки работал с mail.google.com на компьютере коллеги, и оставил галочку "запомнить меня"; наверно не вчитавшись в англоязычный интерфейс решил, что это "работаю на чужом компьютере, не запоминать". Приношу свои извинения компании Google, Inc.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2009-11-04 09:29 am (UTC)
tobotras: (unix)
From: [personal profile] tobotras
Я думаю, что он ТОЧНО подходил к компьютеру коллеги. Пойди в настройки браузера, вытащи сохраненные пароли — наверняка среди них будет и пароль некоего Х. от гмыла. Чудес в природе не бывает.

Date: 2009-11-04 09:54 am (UTC)
From: [identity profile] porokh.livejournal.com
Коллега уверяет что не подходил Х. к его компьютеру, только сидел рядом, когда они кабеля паяли. Подождём ещё объяснений Х., когда выходной у вас закончится.

Чудес не бывает, но бывают хреново спроектированные системы и бекдоры шириной с футбольные ворота. Опять же, наш общий знакомый с #fidorus уверял ежё когда, что он смог получить легко и непринуждённо доступ к чужому ящику...

Нет, мне тоже хочется верить хоть во что-то святое, но вот же.

Date: 2009-11-04 10:12 am (UTC)
tobotras: (Default)
From: [personal profile] tobotras
Не надо уверений и объяснений. Иди в настройки браузера и посмотри сохраненные пароли (и куки заодно).

Верить ни во что не надо. Ты вот веришь в какие-то бэкдоры шириной в ворота. Проверь.

Ты всерьез считаешь, что вы только что открыли бэкдор в гмейле? Опубликуйте. Посмеёмся :-)

Date: 2009-11-04 11:43 am (UTC)
From: [identity profile] porokh.livejournal.com
Сходили, сохранённых паролей нет; куки на mail.gmail.com были 1 шт, более вытянуть оттуда инфы не удалось -- как узнать, коллеги это куки, или Х.?

Я верю в то, что качество программных продуктов и массовых сервисов неуклонно снижается, ибо деньги зарабатываются на "пищалках и перделках", а в остальном "и так сойдёт".

Date: 2009-11-04 09:53 am (UTC)
From: [identity profile] sanches.livejournal.com
Свое надо иметь, свое! ;-)

Date: 2009-11-04 09:59 am (UTC)
From: [identity profile] porokh.livejournal.com
Своё накладно ставить и сопровождать, даже нам, титанам vi и kill -HUP -- а что уж говорить за сферического пользователя в вакууме?

(frozen)

Date: 2009-11-04 10:47 am (UTC)
From: [identity profile] b-a-t.livejournal.com
Да ты ваще лох!

(frozen)

Date: 2009-11-04 10:47 am (UTC)
From: [identity profile] duke-igthorn.livejournal.com
самдурак!

(frozen)

Date: 2009-11-04 11:20 am (UTC)
From: [identity profile] b-a-t.livejournal.com
А по сути возразить-то и неча! :-P

(frozen)

Date: 2009-11-04 11:21 am (UTC)
From: [identity profile] duke-igthorn.livejournal.com
А там была суть??

Date: 2009-11-04 10:00 am (UTC)
From: [identity profile] mak.livejournal.com
Вот я тоже не понял,что произошло, как-то поглядев историю web-поиска и обнаружив там явно не мои запросы. Причём домашним компьютером пользуюсь я и только я, на работе, кроме меня, никто не знает, как интернет на рабочем месте включается, поэтому я тоже эксклюзивный пользователь.
Предыдущий раз видел то, что посчитал глюком. Как-то вместо щелчка по "входящим" нажав "обновить" на вкладке с gmail, я увидел вместо своего совершенно чужой ящик, а при повторном обновлении вернулся уже мой. Что это было, я так и не понял.
Пока две мысли приходят: 1) какие-то внутренние глюки гугла; 2) при работе пользователей через прокси или nat (когда наружу много людей с одного ip прорывается), где-то какие-то коллизии случаются, и между пользователями с внутренними ip путаются сессии аутентификации.

Date: 2009-11-04 10:13 am (UTC)
tobotras: (Default)
From: [personal profile] tobotras
Http — statless протокол. Якобы сессия в нем сшивается куками или урлами с session id. Поэтому 2) исключено. 1) исключить, конечно, нельзя.

Date: 2009-11-04 10:40 am (UTC)
From: [identity profile] duke-igthorn.livejournal.com
Только https и проверенные точки подключения! Я понял это в тот кошмарный день, когда с моего гмыла ушел спам всем адресатам в адресбуке...

Date: 2009-11-05 02:39 pm (UTC)
From: [identity profile] losia.livejournal.com
вторая - это как?

Date: 2009-11-05 03:54 pm (UTC)
From: [identity profile] porokh.livejournal.com
(долго соображая, про что именно вопрос) Если ты про степень устрашения -- то это демонстрация явных намерений причинить боль с размахиванием инструментами причинения и психологическим прессингом.

Но это шутка, даже пальцы в двери зажимать не пришлось, достаточно было строгого взгляда и металла в голосе: "Точно не подходил? А если вспомнить?" :-))
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

porokh: (Default)
porokh
AOP on web

January 2022

S M T W T F S
      1
2345678
9 101112131415
16171819202122
23242526272829
3031     

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Apr. 13th, 2026 01:43 pm
Powered by Dreamwidth Studios