Errata SecurityのCEO、Robert Graham氏は、Google Gmailなどの企業の暗号化サービスが一時的なCookie(セッションCookie)へのアクセスを提供できると述べました。 これは、SSL HTTPS Gmailセッションの保護を強化する必要があるという2007年8月のメッセージの続きです。
デビッドメイナーと協力してグラハムは、たとえばインターネットカフェなどのローカルホットスポットで一時ファイルにアクセスするのに役立つ2つのツール(フェレットとハムスター)を作成しました。 一時ファイルを使用すると、オンラインストアで買い物をした後、パスワードを再入力せずに後でストアページに戻ることができます。 ユーザーのPCから受信した一時ファイルを使用すると、パスワードをデコードする必要さえありません。TheRegisterに書き込みます。
Grahamは、Black Hat USA 2007カンファレンスでGmailアカウントへの攻撃のデモを行い、受信ボックスに到達する方法を示しました。
現在、Grahamのブログでは、特にGmailは主にSSLではなくJavascriptを介してホットスポットに接続しているため、このサービスを使用して一時ファイルを読み取り、他のユーザーのメールにアクセスできるようになっています。 同じことがAmazon.comおよび他のWeb 2.0サイトにも当てはまる場合があります。
続きを読む
銃口でGMail
All Articles