Nálam a böngésző rövid töltés után inkább átdobott a google keresőoldalára, tisztán a google.com címre.

De az biztos, hogy a paranoia ilyen tekintetben ésszerű és inkább túlzásba kell vinni, semmint félvállról venni a veszélyt... én például, ha a gmail kacifántos és szokatlanul zagyva oldalcímmel fogad, inkább beírom újra a gmail.com címet.

Cirka fél másodperc alatt beírja az ember - de nem kell soha aggódnia hogy ilyen módon fognak majd adatpecázni tőle. :)

Hú bazze, ez még a jelszókezelő progimat is megtévesztette: Kitöltöltette a belépő formot (de nem küldtem el)!

Tehát ez ellen a jelszókezelő sem véd... És ha a felső frame láthatatlan lenne (ezt meg lehet csinálni), akkor aztán nagyon durva lenne.

nekem az lenne rögtön gyanus, hogy nem vagyok eleve bejelentkezve a google accountommal, illetve hogy az ffx jelszo kezelo nem tolti ki magatol a mezoket.

persze ha nem saját gépről jelentkezek be, lehet hogy simán bedőlnék. :/ ezentul figyelek.

Nálam nem töltötte ki a jelszókezelő, és ráadásul a kerettel nagyon sántít. Annak köze sincs az eredetihez.

Én általában a Gtalk-ba szoktam belépni, és onnan nyitom meg a google fiókokat. Ez biztonságosnak tűnik.

senkinek nem tűnt fel, hogy nem https?

"cím nem található"

egyrészt otthon mindig könyvjelzővel lépek be, máshol meg én írom be a belépőoldal címét.

imap. ÉS kész :D

Ügyes és veszélyes! De azért nem az igazi...A httpS-ről tényleg hol az S? De tényleg óvatosan kell kezelni egy csomó mindent! Ezért szoktam az ilyen webhelyeket KÉZZEL beírni és oszt!

Azert ez igy rohadt gyanus lenne. Miert lepnek be egy oldalra, amit a google images egy frame-ben mutat? Eleve az gyanus lenne, hogy valahova be van linkelve, hogy GMAil, es akkor a google images kis szub frame-jet latom, es nincs https, nem feltunoen sarga a cimsor. Tehat ujdonsag nem nagyon van benne, social engineering a megszokott modszerekkel, vedekezes ellene a megszokott modszerekkel. (Pl. phishingre mindig jo a jelszokezelo, mert az ilyenkor nem tolti ki a mezot, es az helybol gyanus.)

Charybdis: > Hú bazze, ez még a jelszókezelő progimat is megtévesztette:
> Kitöltöltette a belépő formot (de nem küldtem el)!

Milyen program az? Dobd ki, tul okos akart lenni :). Valoszinuleg az oldal es nem a frame URL-jet nezte. Egyszer en is csinaltam egy jelszokezelot, hogy demozzunk valamit, es ott azt a megoldast valasztottam, hogy a form post URL-t hasznaljuk a jelszomezo azonositasara. Ha jol lattam, akkor a firefox beepitett megoldasa nem ezt csinalja, es ez eleg erthetetlen, pedig hat pont ez az egy dolog azonositja be a jelszot, amit hasznalni kell.

> Tehát ez ellen a jelszókezelő sem véd...

A FF siman nem tudja, hogy mit kezdjen vele, milyen jelszoval kene belepni. Ismeretlen oldalnak latja.

> És ha a felső frame láthatatlan lenne (ezt meg lehet csinálni),
> akkor aztán nagyon durva lenne.

Nem lehet megcsinalni, mert az oldal (igy a frame kiosztas) a google-tol jon, az meg pont a trukk lenyegi eleme. Vagyis gugliek tudnak csak megcsinalni :).

Én nem értek valamit. Egy mezei user hogyan tud aldomaint létrehozni, kezelni a google alatt???

sanya18: ugyvan!

Ez nagyon gagyi, így hogy frame van. Na meg ki az, aki ismeretlen linkről lép a Gmail-re? Vagy beírja kézzel, vagy a böngészőjében ott van a könyvjelző.

Egyébként legyen mindenki nyugodt, attól hogy a jelszót nem küldöd el, még megszerezhetik, csak mert beírod a formba. Volt is erről cikk, amikor minden olyan böngésző érintett volt, ahol így működik a jelszókezelő: IE, Firefox) és kivéve az Opera volt védett, ami nem tölti ki a formot, csak mikor megnyomod a Ctrl+Entert, ezzel együtt belépsz.
Asszem myspace-es csalás volt.