安全公司表示 SSL加密的Gmail也不安全--快科技--科技改变未来

正文内容 评论（0）

安全公司表示 SSL加密的Gmail也不安全

2008-02-01 17:09:08 出处：快科技作者：Alright 编辑：Alright 评论(0)

据Errata Security安全公司的CEO Robert Graham表示，他们去年发现的“SideJacking”攻击方式完全可威胁到Gmail系统。

SideJacking（WiFi截夺）是指籍着嗅探技术，攫取附近WiFi使用者造访网站时的cookies数据，保存下来作为日后破解使用。被截获的cookies可用来复制受害者先前建立连接的网站。在2007年的黑帽大会上，Graham和Maynor首次针对这一攻击方式进行了现场展示，并提交了一篇学术论文。当时Graham表示，采用SSL与HTTPS的Gmail系统可能对该攻击方法免疫。

但是实际上，Graham经过研究证实，Gmail也会受到该攻击方法的威胁，并在他的个人博客上进行了说明。

“从理论上讲，使用HTTPS工作的Gmail会保护https://mail.google.com/mail的邮件，但是它并不会如你想象的方式工作。JavaScript代码通过XMLHttpRequest对象发送HTTP后台请求，默认状态下这是经过SSL加密的状况。但是实际上如果SSL失败，那么传输的内容就变成未加密的”

安全公司表示 SSL加密的Gmail也不安全