brainslicer Postad 6 Mars , 2009 Rapport Postad 6 Mars , 2009 http://sakerhet.idg.se/2.1070/1.216174/google-ignorerar-gmail-sarbarhet Frustrerade säkerhetsforskare har publicerat detaljer om en Gmail-sårbarhet efter ett och halvt års fruktlös brevväxling med Google, som inte anser att sårbarheten behöver åtgärdas. Säkerhetsforskaren Vicente Aguilera Diaz upptäckte den 30 juli 2007 en sårbarhet i den Gmail-funktion som låter användare ändra lösenord. Sårbarheten öppnar för angrepp via metoden cross-site-request-forgery och möjliggör för angripare att både kontrollera och ändra de lösenord som är kopplade till Gmail-konton. Den 3 mars detta år har Isecauditor därför publicerat en så kallad proof-of-concept, en detaljerad beskrivning av sårbarheten, tillsammans med den kod som visar hur attacken kan genomföras. Lyckas angreppet är det möjligt för en angripare att antingen passivt ta reda på offrets lösenord eller aktivt ändra det till ett eget godtyckligt val. Länk till Gmail proof-of-concept Källa: Seclists.org Citera
Dead-Inside Postad 6 Mars , 2009 Rapport Postad 6 Mars , 2009 luls, the fuck pysslar google med? Trodde dom var duktiga på att ta till sig, lära sig och fixa saker. Citera
brainslicer Postad 6 Mars , 2009 Författare Rapport Postad 6 Mars , 2009 verkar inte va lätt att använda(3/5 på severity skalan), men koden ligger ju ute nu så man får väl vara medveten om det iaf... http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=215800241 A Google spokesperson said the company hasn't heard of any such attacks in the wild, but is looking at ways to mitigate abuse of the CSRF flaw. "We've been aware of this report for some time, and we do not consider this case to be a significant vulnerability, since a successful exploit would require correctly guessing a user's password within the period that the user is visiting a potential attacker's site," the spokesperson said. "Despite the very low chance of guessing a password in this way, we will explore ways to further mitigate the issue. We always encourage users to choose strong passwords, and we have an indicator to help them do this." Citera
Setcho Postad 13 April , 2010 Rapport Postad 13 April , 2010 Kanns som att manga seriosa pokerspelare har sina pokeraccounts kopplade till Hushmail-account som dem bara har till poker etc. Citera
Jeg123 Postad 14 April , 2010 Rapport Postad 14 April , 2010 Kanns som att manga seriosa pokerspelare har sina pokeraccounts kopplade till Hushmail-account som dem bara har till poker etc. Hushmail? Används det inte av personer som vill ha betalt med e-gold eller och sånt? Citera
aglo Postad 14 April , 2010 Rapport Postad 14 April , 2010 Kanns som att manga seriosa pokerspelare har sina pokeraccounts kopplade till Hushmail-account som dem bara har till poker etc. Jag har inte det. Berätta mer... Vad är fördelen med det gentemot exempelvis gmail? Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.