Vorrei ritornare sull’introduzione del protocollo https in Gmail, infatti come vi avevo già detto qualche settimana fa Google ha implementato la connessione sicura per il proprio servizio mail. Ovviamente la scelta di utilizzare o meno questa tipologia di connessione dipende soltanto da voi, ma io vi consiglio di attivarla immediatamente. Perché?
Semplice, Mike Perry, un reverse engineer di San Francisco, ha annunciato che rilascerà al pubblico Gmail Account Hacking Tool. Quest’ultimo intercetta qualsiasi scambio dati tra te e Gmail, può essere il cookie che viene creato al momento del login, o anche un cookie inviato mentre visualizziamo l’immagine di una email.
Il cracker analizza il traffico della nostra rete e al momento giusto forza il browser ad inviare un cookie con l’ID della sessione, ottenuto questo il gioco è fatto. Perry ha segnalato a Google il problema già da molto tempo, ma questa non ha aggiunto prima questa feature per il semplice motivo che SSL è costoso, e richiede parecchia banda.
Infatti questa connessione è sconsigliata per quelli che hanno connessioni lente. Sicuramente il Packet sniffing non è una cosa nuova, e ovviamente non soltanto Gmail può essere attaccata in questo modo, quindi il consiglio è sempre quello se dovete scambiare dati sensibili con un sito web (paypal, account email, la propria banca) assicuratevi che l’indirizzo inizi con https://
Via | webmonkey
Leggi anche:
Google Buzz Desktop, ecco come gestire Buzz direttamente e comodamente dal proprio desktop
GMail, ora il protocollo HTTPS è attivo di default
Google non raffredderà un suo nuovo Data Center
Gmail: Finalmente possiamo utilizzare una connessione sicura
13 nuove caratteristiche in Gmail, ed è solo l’inizio
Che poi è stato anche dimostrato la vulnerabilità del SSL qualche tempo fa…Rubare le sessioni poi non è tanto complicato,il problema è usarle.Molte volte si fa l’incrocio IP con ID.
Peccato che chi ha trasferito la posta del proprio dominio su google NON abbia a disposizione ancora tale funzione!!!! GRAZIE GOOGLE!!!
si mai io se attivo l’https non posso leggere la posta da cellulare (usando il client mobile di Google)
allora tanto vale!