Ha be vagyunk jelentkezve a GMail accountunkba, s fellátogatunk rosszindulatú oldalakra, megtörténhet, hogy teljes kontaktlistánk illetéktelenekhez kerül, írja Alex Bailey. [Figyelem, a hivatkozott postban található webszájtlinket mindenki csak saját felelősségére kattintsa!]
Tegyünk is egy próbát. Miután beléptünk a GMailbe, nyissuk meg ezt a linket egy új fülön. Az egyetlen védelem, ha a böngészőnkben nem engedélyezzük a JavaScriptet (ugyanis a Google a kontaktlistánkat JS-fájlokban tárolja), vagy korlátozzuk azt a megbízható oldalak (trusted sites) körére, írja az Engadget.
Bár a ZDNet még tegnap azt írta, hogy kijavították a problémát ("Only hours after it was reported to the Google security team, the vulnerability was fixed."), a beszámolók szerint a gmailes kontaklista még most is szivárog.
Tegyünk is egy próbát. Miután beléptünk a GMailbe, nyissuk meg ezt a linket egy új fülön. Az egyetlen védelem, ha a böngészőnkben nem engedélyezzük a JavaScriptet (ugyanis a Google a kontaktlistánkat JS-fájlokban tárolja), vagy korlátozzuk azt a megbízható oldalak (trusted sites) körére, írja az Engadget.
Bár a ZDNet még tegnap azt írta, hogy kijavították a problémát ("Only hours after it was reported to the Google security team, the vulnerability was fixed."), a beszámolók szerint a gmailes kontaklista még most is szivárog.
- Kommentek a témáról a Diggen
- Gmail CSRF Security Flaw (Ajaxian)
- CSRF Attacks or How to avoid exposing your GMail contacts (Joe Walker)
hírbehozó · https://webisztan.blog.hu/ 2007.01.01. 18:08:52
addons.mozilla.org/firefox/722/
és csak azoknak az oldalaknak engedélyezzék a JS-t, amikben feltétlenül megbíznak.
Aadaam · http://adamnemeth.hu 2007.01.01. 18:10:36
Igazabol, ha a window.parent objektumot masok is elerik, akkor a budos eletbe nem vedheto, legalabis multkor neztuk, es at lehet hivatkozni javascriptbol bizonyos bongeszokben egyik site-rol a masikra - viszont a google tok jol lekommunikalta a dolgot, csak nem voltak eleg gyorsak es lebuktak :)
OS X Mail, Evolution, anyone?:)
Aadaam · http://adamnemeth.hu 2007.01.01. 18:11:20
hírbehozó · https://webisztan.blog.hu/ 2007.01.01. 18:12:45
norti 2007.01.01. 18:17:13
Bosi 2007.01.01. 20:13:35
Először eltűnnek a levelek, majd jön ez a biztonsági rés. És még a "tárhelyszámlálót" is "elfelejtették" frissíteni...
Decemberben az összes fejlesztő szabadságra ment?
Lehet hogy érdemes lenne kikapcsolnom a Gmail Notifiert a firefox alatt. Ki tudja mi jöhet még...
Egy biztos: Nekiállok biztonsági mentést készíteni a leveleimről...
Bosi
u.i.:
A saját felelősség már nem gond, a blogon megjelent egy ilyen kitétel: "According to the website they aren’t saving the data."
Szóval nyugodtan ki lehet próbálni...
hírbehozó · https://webisztan.blog.hu/ 2007.01.02. 00:05:37
CSRF Attacks or How to avoid exposing your GMail contacts
getahead.ltd.uk/blog/joe/2007/01/01/csrf_attacks_or_how_to_avoid_exposing_your_gmail_contacts.html
ajaxian.com/archives/gmail-csrf-security-flaw
human · http://humaninsect.freeblog.hu 2007.01.03. 14:08:41
agost 2007.01.04. 15:20:41