图片上的男子名叫Robert Graham,他正在向现场观众演示他如何成功侵入基于Web的电子邮件应用(如:Gmail、Yahoo Mail)。或者用IP地址和用户名登录Hotmail而无需任何密码。感觉很恐怖?不过这确实是发生了。他是通过使用一些叫Ferret(用来复制Gmail的cookies到他的电脑)和Hamster(用来在他的浏览器使用这些cookies)的嗅探工具来做到的。
不过虽然存在安全漏洞,但这个漏洞也不是没有办法抵御的。Robert的方法只有在你使用HTTP模式访问你的邮箱时才有效。因此最好的方法就是永远使用安全登录模式。
此外当你使用Wi-Fi接入互联网时,使用https://代替http://。以下三种方案都将使该安全漏洞失效,以达到保护你的Google 帐户的安全的效果:
- 使用这个URL来访问Gmail
- 使用这个URL来访问iGoogle
- 使用基本 HTML视图的Gmail
此外,如果你是Firefox用户你可以通过安装CustomizeGoogle扩展,CustimizeGoogle将确保你在忘记使用https://访问Gmail时仍然使用https加密模式来访问(via Amit)。
不仅仅对于Google的服务如此,当网页有https版本的时候我都推荐使用https版本来访问。不仅仅是由于安全性更高的原因,也是因为https版本的数据是使用SSL协议加密的,因此和http版本的明文数据不同,无法被GFW进行关键词审查。曾几何时维基百科被封期间还可通过https的版本来访问呢。
Update:感谢mjjin的告知,Lifehacker开发的Firefox扩展--Better Gmail也有自动进入https版本的功能,此外Better Gmail还整合了不少优秀的Gmail Greasemonkey脚本,推荐使用。
2 条评论:
转载到solidot
http://internet.solidot.org/article.pl?sid=07/08/04/1344249
在firefox下使用Better Gmail插件可以预览每封电子邮件的内容,也可以自动进入https版本哦.
发表评论