分享、收藏这篇文章

©2012 指尖网. All Rights Reserved.

拉斯维加斯举行的Defcon黑客大会上展示了一种工具，能自动窃取Google Mail非加密会话ID，并进而攻占邮箱。来自旧金山的逆向工程师Mike Perry开发了这一工具，并计划在两周内发布，他表示没有选择SSL的用户现在需要认真对待。
当用户登录Gmail 时，网站会向浏览器发送包含ID的cookie文件，它将保留两周时间，除非你选择退出。问题在于：每次你访问Gmail，即使是上面的一幅图像，浏览器都会向网站发送cookie文件，这就是使得攻击者能够嗅探通话，通过植入http://mail.google.com上的图像诱使浏览器发送cookie，从而获得你的ID。当这一切发生之后，攻击者无需密码就可登录邮箱。Google在上个礼拜介绍了Gmail的新特性，允许用户永久选择SSL，除验证之外，它将加密Gmail内的所有操作。但Perry抱怨Google不透明，“Google没有解释为什么这项功能是如此重要”。

你想一下,现在Gmail一般都会在验证密码的时候通过SSL都不太安全,那么更不要说别的没有提供这种技术的网站了?那么我们要怎么才能得到数据以及隐私的保证呢?那么你需要,永久性的使用SSL而不是验证密码的时候Google强制的那一下,你可以使用以下方法来满足…..

1. 在进Gmail时直接Https://www.gmail.com(注意后面那个S)
2. 或者进入Gmail进行设置,如下图……..

经过这样的设置之后你的数据是相对安全了,这个世界上不存在绝对的……..

分享、收藏这篇文章

©2012 指尖网. All Rights Reserved.