Роберт Грэхэм, генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту.

Грэхэм, работающий с Дэвидом Мэйнором, создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль.

Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие».

Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов.

Источник: Cnews.ru

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии