Sicherheitslücke in Google Mail
Wie CHIP Online berichtet ist hat gnucitizen.org eine Sicherheitslücke in Google Mail entdeckt. Es soll möglich sein, wenn man eine präparierte Seite aufruft und sich in einem anderen Fenster gerade bei Google Mail einloggt, dass ein Hacker die eMails klauen kann. Der Hacker erstellt einen Filter und leitet die eMails auf seine Adresse weiter. Dies geschieht über eine sogannte Cross-Site-Request-Forgery-Lücke (CSRF), die auch als Session Riding bekannt ist. Selbst wenn Google die Lücke schließt, bleibt der Filter erhalten. Man sollte also die Filter kontrollieren.
Google öffnet seine Dienste über http, wer die sicherere Verbindung https nutzen möchte sollte im Firefox erst Greasemonkey und dann dieses Script installieren.
Ich habe selbst das Script ausgetestet und bin zu frieden, leider dauert das Laden etwas länger, was man aber für Sicherheit in Kauf nehmen kann. Mehr Tools und Tipps in der Google Wiki.
Die Sicherheitsexperten Billy Rios und Nate McFeters haben in Picasa eine Lücke gefunden, die es erlaubt Picasa-Nutzern Fotos direkt von der Festplatte zu stehlen.
[Gastartikel von: Pascal]
Nachtrag:
» Sicherheitslücke in Google Mail geschlossen, kein Schaden entstanden
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
danke für die meldung, werde gleich mal meine zig filter checken!
eine sache noch wegen https: ich benutze dafür customizegoogle 😉 ich denke das ist besser als ein greasemonkey script da man damit auch fast alle anderen google tools per SSL starten lassen kann!
Gibt es einen Vorteil des Greasemonkey Skriptes gegenüber dem CustomizeGoogle Plugin und dem Setting „use https“?
„Man sollte also die Filter kontrollieren.“
hä?
verstehe ich nicht…!
-Wie?
-Was?
-Wo?
Filter?
Viele Grüße,
hagbard
Scahu dir diese Seite an!
BTW: das Script war ja nur ein Beispiel um noch mal auf die Wiki hinzu weisen.
@Christoph: Altes https-Problem. Irgendein Bestandteil der Seite, ob nun Grafiken, Stylesheets oder Javascript (Ajax…) werden über http statt https (nach)geladen und dann ist die Sicherheit natürlich gebrochen.
Ach herrlich so eine Sicherheitslücke. Und man kann bei Google ja noch nicht mal den Stecker rausziehen, damit man erstmal sicher ist… 🙂
Äh. Die Filter zu kontrollieren ist ja ganz nett, aber diese „bösartigen Filter“ sind doch nur ein Beispiel dafür, was man derzeit mit Session Riding bei Gmail anfangen kann.
Es überrascht mich allerdings auch etwas, dass das jetzt so hoch kommt. Ich habe schon öfter (z.B. von dem Hamburger Martin Johns) gehört, dass GMail für XSS anfällig ist.