|
|
Defcon e la vulnerabilita' del Cookie di Gmail
|
 Leggo in questi giorni, che al Defcon è stato reso pubblico il metodo per sferrare un attacco quasi man-in-middle durante una sessione Gmail.
A rendere il lavoro semplice è stato il WiFi, che crea un canale di comunicazione via etere (quindi facilmente accessibile) spesso non crittografato e quindi non sicuro. Ma questo si sapeva gia'.
La novita' sta nel fatto che si tratta di Gmail e quindi desta molta attenzione. Molti si sono affrettati a parlarne, anche Paolo Attivissimo. Purtroppo il blog di quest'ultimo permette di inviare un commento solo a coloro che hanno un account proprio su Google. Google è il fornitore del servizio Gmail, quello insicuro di cui stiamo parlando per capirci :)
L'ironia della sorte.
Dato che ritengo noioso dovermi loggare per lasciare un commento, ho
preferito scrivere un commento un po piu' lungo in questa pagina.
In breve la notizia spiega che se si usa il WiFi, e questo non è crittografato, un utente
malizioso potrebbe sniffare il cookie che "certifica" le nostre
credenziali di accesso ad un servizio (Gmail, MySpace, ...) ed in questo modo rubare la nostra identita'.
Ritengo giusto ed interessante sottolineare che questa vulnerabilita' (sniffing del cookie) è un problema che affligge solo i servizi web.
Infatti se si accede ai servizi di posta Gmail con gli strumenti "giusti", questi problemi non si presentano.
In altre parole se per leggere la posta si usasse un client di posta, che non usa i cookie, avremmo le nostre email, e la nostra rubrica al sicuro.
Inoltre ritengo sia buona abitudine usare email crittografate.
Personalmente uso Thunderbird ed Enigmail e fortunatamente non ho di questi problemi.
Poi, se si viaggia, e non si ha la possibilita' di portare con se il
proprio client, allora è sempre opportuno informarsi sulla rete da cui
si accede ad internet.
Le reti, wireless o meno che siano, posso nascondere diverse insidie.
Ad esempio io a casa ho una rete WiFi aperta non crittografata (che non uso), che non pubblicizzo ne tantomeno autorizzo alcuno ad usarla, con sopra un honeypot
che logga tutto cio che succede, login degli sprovveduti compresi.
Sulla base di queste considerazioni, auguro una navigazione piu' consapevole a tutti :)
Update 1 (si ringrazia Claude per la segnalazione)
HTTPS: Se proprio non riuscite ad usare un client di posta, allora è vivamente consigliato usare il protocollo https. Questo non vale solo per i servizi di posta, ma per tutti i servizi web che contengono dati sensibili. Basta anteporre https:// al sito di vostro interesse. (Esempio https://gmail.com)
ATTENZIONE: Alcuni siti che non supportano https potrebbero reindirizzarvi senza avviso sul protocollo http, questo ad esempio è quanto succede andando all'indirizzo https://google.com
POP: Inoltre per assicurarvi che il vostro client effettui connessioni sicure (non in chiaro), basta configurarlo seguendo le guide di Gmail.
In breve: "In the Security Settings section, select SSL from the Use secure connection options."
|
NeCoSi
- 8 8 2007
- 23:55
Scrivi |
Commenti (4)
Letture: 3474
|
Commenti
Regolamento
GeekPlace.org è uno spazio aperto a vostra disposizione, è creato per confrontarsi direttamente. L'immediatezza della pubblicazione dei vostri commenti non permette filtri preventivi. L'utilità del sito dipende dalla vostra collaborazione per questo motivo voi siete i reali ed unici responsabili del contenuto e delle sue sorti.
Avvertenze da leggere prima di inviare un commento
Non sono consentiti:
- messaggi non inerenti al post
- messaggi pubblicitari
- messaggi con linguaggio offensivo
- messaggi che contengono turpiloquio
- messaggi con contenuto razzista o sessista
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Comunque il proprietario del blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi.
In ogni caso il gestore del sito non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.
Inserisci il tuo commento
|
