esetleg https? ezt nem értem, hiszen a gmailnak van https címe.

Nem arról van szó az eredeti hírben, hogy a nem az összes javascriptet kell tiltani, hanem csak az olyat, ami más domain alól jön (cross-site scripting vulnerability)?
Erre való a NoScript extension.

már régóta meg akartam kérdezi: miért nincsenek lefordítva az idézetek? elvégre ez egy magyar oldal, magyarul szeretnék olvasni. vagy legyen bemásolva/linkelve az egész cikk, és akkor elolvasom angolul, vagy legyen lefordítva.
ez így, se füle se farka.

Azt kell mondanom, hogy ez így elég elkeserítő, már ha így van. Mondjuk nem értem, hogy ha valóban így van ez, akkor miért nem lett a módszer is nyilvánosságra hozva teljes egészében? Vagy a háttérben megy az egyezkedés?

https csak a gmail belepooldalan van, ha jol gondolom. talan epp a better gmail-ben van egy all-https szkript. a js-tiltast annyira keves ember hasznalja, h nyilvanvalo h itt ez nem lehet megoldas. gondoljunk a nem ff-juzerekre is pl.

JS nélkül használni a Gmail felületét eléggé kínszenvedés lenne. Amúgy ha jól értem a megoldás mindössze "annyi", hogy ne kattintgassunk fura linkekre - ezt pedig eddig is érdemes volt betartani.

legyunk mar tisztaban a fogalmakkal... a https csak azt biztositja, h a szerver kliens kozott secure a kapcsolat, kivulrol nem lehallgathato. attol meg siman lehet futtatni rossz indulatu js-t.

Ha kikapcsolod a js futast, akkor lottek az egesz gmail-nek. szinte minden js-el van megoldva. (attom meg h valami kek es ala van huzva nem biztos, h link, nezzetek meg firebuggal)
amit a kollega emleget az csak annyit tilt h mas domainrol ne lehessen scriptet behuzni az oldalra.

FireFox + Noscript Extension + Better Gmail Extension

A GMail-nek van egy teljesen JS mentes, hagyományos változata is, ha valaki erre gerjed. Egyébként pedig annyi a történet, hogy 1-2 napig nem kell a linkekre kattintgatni esztelenül a rendszerben. A javítás elég triviálisnak hangzik ha csak nincsen valami extra kavar, valószínűleg úton van.

Jelzem, hogy ugyanígy a Google Reader és bármilyen más rendszer is hibás lehet (online RSS olvasók és levelezők), a magyar levelezőkkel az élen. :)

A ZDNet egy másik cikkében CSRF támadást emlegetnek, nem XSS-t. Az ellen meg a JS tiltás nem feltétlenül véd (fajtája válogatja).

A legtutitbb megoldás, hogy az ember nem klikkelget mindenféle ostoba linkre.

hirbehozo:
a gmail összes oldalán van https

Hat ha eleg bena a GMail, akkor nem is kell ehhez kivulrol belinkelt JS, es abban az esetben a NoScript sem ved. Meg akkor talan mar nem is cross site. (A level torzsebe kell beagyazni a JS-t, es kesz. Lehet, hogy erre figyeltek, es a kivulrol behuzott JS-re meg nem?) Pedig csak a javascript: protokolos linkeket kell kiszerelni a levelekbol.

De ez a trukk tenyleg minden webmail rendszerrel eljatszhato, amelyik nem figyel ra. Kiolvassa a cookie-t, aztan e-mailben hazakuldi. Kozben esetleg a hatterben automatikusan beallitja a fwd-olast (amihez nem kell kikuldeni a cookie-t). A browser nem tudja szurni, mert teljesen legalisnak nez ki a muvelet, megkulonboztethetetlen attol, amit a GMail egyebkent is csinal. Szolgaltatas specifikus GreaseMonkey scripttel viszont pillanatok alatt meg lehet oldani a dolgot (ugyanaz a megoldas, mint amit a szolgaltatonak is csinalnia kene).

mail.google.com/mail/

"+!%/=()%!/%!/
szóval https + a fenti link, és garantáltan https-sen marad a gmail, és nem csak a login

Oké, utánaolvastam egy kicsit a témának. Szóval azok a veszélyes linkek nem a GMail-be jutnak be, hanem bárhol lehetnek a neten, és ha eközben egy másik fülön, vagy úgy általában be vagyunk lépve, akkor képesek betörni a postafiókunkba segítségükkel. Ez már tényleg egy fokkal veszélyesebb történet, és nem feltétlenül olyan triviális javítani sem, mert a rendszer egy bizonyos pontjának a logikáját kell átalakítani. Szóval mukinyúlnak van igaza.

Ja, időközben javították. Itt lehet olvasgatni is róla technikaibb szemmel:

www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

És ott az a bizonyos link is, ami immár nem műküdik.

Nos ahogy ezt egy biztonsági kérdésekkel foglalkozó ismerősöm fogalmazta, a gmail arra való, hogy a sörözés helyét és időpontját megbeszéljem a haverokkal. Ha valaki elolvassa, maximum egyel többen leszünk.

(Ha más nem a google mindenképp olvassa a leveleidet, különben nem tudna hirdetéseket pattintani mellé:-)

Amúgy meg használj nyilvános jelkulcsú titkosítást és saját szervert, ha paranoiás vagy. De semmiképp se forwardold ki a gmailre a plain text leveleidet amiben a kartel megállapodás van, különben fizetheted a 100M-os bírságot ;)

Én mindenkinek el szoktam olvasni a levelét, nem csak a gmailesekét. Dehát ez a munkámmal együtt jár.

> Amúgy meg használj nyilvános jelkulcsú titkosítást és saját
> szervert, ha paranoiás vagy.

Csak nehogy veletlenul egy CSRF-fel megszivathato webmailen keresztul tedd ezt...