アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
Gmailと何の関係が?SSLなしで経路途中で盗聴されたら情報は抜かれる (スコア:1, すばらしい洞察)
なんで今回問題視されるの?
タレ込み文をパっと読んだだけだと、他サーバーの画像へ送られたCookieやヘッダーなんかをその(呼び出し元)ページから取得できたのか、と思ってしまった。
もし経路途中で盗聴できるなら、ほんとクッキー盗まなくてもhttpでメールにアクセスさせて内容を取得できるよね。(今回はSSLオンリーにしてればこれも防げるけど)
Gmailの場合
http://mail.gmail.com にアクセス (セッション開始前だからセッションIDはない)
https にリダイレクト
認証、セッションIDを返す
以後、httpsだけでセッションID送信
ってことか。
言ってみれば、ログイン画面だけHTTPS使って通常ページはHTTPなすべてのサイトでは、セッションクッキー盗聴できますよってことでしょ。
Gmailだけの問題じゃない。(というかGmailはほぼ解決策を提示した)
そもそも、じゃあ、プレーンテキストで通信してるメールプロトコル(POP3)なんかだと、もうぜ~んぶ抜かれるわけですが、こちらはそんなに問題視されないのかな。まだまだPOP over SSLなんて使ってる人のほうが少ないでしょ。ここ見てる人は使ってるでしょうけど、初心者向けのISPメールなんかはだいたい通常のPOP3だ。
Re:Gmailと何の関係が?SSLなしで経路途中で盗聴されたら情報は抜かれる (スコア:1, すばらしい洞察)
gmailのセッションIDを自動的に盗むツールが2週間後にリリースされるので、
gmailを使っている人はgoogleが先週追加した「常にSSLを使うモード」を使うようにしましょう、
という話なのではないかと。
Re: (スコア:0)
gmailを使っている人はgoogleが先週追加した「常にSSLを使うモード」を使うようになってしまうので、
2週間後にリリースされるgmailのセッションIDを自動的に盗むツールを使うようにしましょう
と誤解した。
#Defcon的にたしかに情報は盗んで何ぼだよなと思うが・・。
Re: (スコア:0)
どちらかというと、gmailよりはリモートの画像を勝手に読み込むようなHTMLメール等々の対応ソフトは、メールのURLにIDなんかを混ぜておくと誰がどのメールをいつ読んだのかわかるので危険なのですが、今更そんなMUAもないですよね。ないといいんだけどな。
何も考えていない企業共がHTMLメール送ってくるので嫌になるよ。
Re: (スコア:0)