در کنفرانس Defcon Hackers که اخیرا در لاسوگاس برگزار شد، ابزاری برای سرقت خودکار شناسههای (ID) رمزگذاری نشدهٔ (non-encrypted) نشستها (Sessions) و ورود مخفیانه به حسابهای میل گوگل (جیمیل) معرفی شد.
هفتهٔ پیش گوگل یک امکان جدید را در جیمیل معرفی کرد که به کاربران اجازه میدهد که به صورت کامل از SSL در همهٔ اعمال، از جمله جیمیل استفاده کنند (نه فقط برای شناسایی و ورود). کابرانی که این امکان را هنوز روشن نکردهاند، حالا یک دلیل جدی دارند که هر چه زودتر، از این ابزار جدید گوگل استفاده کنند. مایک پری، یک مهندس معکوس از سان فرانسیسکو که ابزار سرقت خودکار شناسههای رمزگذاری نشدهٔ نشستهای گوگل را نوشته، در نظر دارد تا در ۲ هفته این ابزار را منتشر کند.
وقتی که شما وارد جیمیل میشوید (Login)، وبسایت جیمیل یک کوکی (یک پروندهٔ متنی) شامل شناسهٔ نشست شما را به مرورگر ارسال میکند. این پرونده (File) به وبسایت این امکان را میدهد که شما را به عنوان یک کاربر «تایید هویت شده» و وارد شده، برای دو هفته بشناسد (مگر اینکه خودتان از جیمیل خارج -Sign Out- شوید). یعنی هنگامی که شما Sign out را میزنید، کوکی پاک میشود.
حتی اگر ازبرای وارد شدن به جیمیل از «تایید هویت از طریق SSL» استفاده میکنید. کافی نیست، اصلا امن نیست! چون بعد از مرحلهٔ تایید هویت (Authentication)، به حالت اتصال معمولی رمزگذاری نشده برمیگردد. بنا به گفتهٔ گوگل، این رفتار جیمیل به خاطر اینترنت کمسرعت کاربران انتخاب شده است چون اتصالات SSL ای (SSL Connections) کند هستند.
مشکل اصلی اینجاست که وقتی شما به هر قسمتی از جیمیل وارد میشوید و کاری انجام میدهید، حتی یک تصویر میبینید، مرورگر شما، کوکی شما را به وبسایت ارسال میکند. این کار یک فدر نفوذگر را قادر میسازد تا در بین راه شبکهٔ شما گوش بایستد و یک تصویر به http://mail.google.com درج کند و مرورگر شما را مجبور کند که پروندهٔ کوکی شما را همراه شناسهٔ نشست شما به او ارسال کند. هنگامی که این اتفاق افتاد، فرد نفوذگر این اجازه را مییابد که بدون پسورد، وارد حساب جیمیل شما شود. کاربرانی که از شبکههای سازمانی یا شبکههای بیسیم (مثل مجتمع پایتخت و دانشگاهها) استفاده میکنند، نسبت که کسانی که از شبکههای سیمی امن استفاده میکنند، بیشتر مورد تهدید هستند.
همچنین آقای پری ذکر کرد که خود او، گوگل را حدود یک سال پیش از این ماجرا مطلع کرده است. با این حال، ناراحتی او از کمبود اطلاعرسانی است. او میگوید، «گوگل پس از معرفی امکان جدید خود، دلیل استفاده از آنرا به کاربران اطلاع نداده است.» همچنین او اشاره کرد که کسانی که از نشستهای https:// برای ورود به جیمیل استفاده میکنند نیز در خطر حمله هستند، و تنها راه جلوگیری از هک شدن، فعالکردن امکان جدید جیمیل است.
پس اگر برای ورود به حساب جیمیل خود از مکانهای مختلفی استفاده میکنید، هیچ وقت فکر نکنید که اگر با آدرس https://mail.google.com وارد جیمیل شوید، میتوانید از هک شدن جلوگیری کنید.
منبع: سیستم ایران (به نقل از Slashdot)
پینوشت نویسنده: چون در ایران، شبکههای ما از امنیت بالایی برخودار نیستند و ISP های ما میتوانند به عنوان نفوذگر با این روش عمل کنند، با اینکه با فعال کردن امکان جدید جیمیل، سرعت جیمیل کند میشود، باید از آن استفاده کنید (اگر نمیخواهید هک شوید)!!! در ادامه باید به عنوان یک مدیر شبکه و یک کاربر حرفهای بگم که حتی اگر فقط از شرکت یا سازمان خود وارد جیمیل میشوید، حتما این امکان را فعال کنید، چون هیچ فردی جز خود شما مورد اعتماد نیست.
در ادامه، یک راهنمای تصویری برای فعال کردن امکان Always Use HTTPS جیمیل قرار دارد.
در آخر باید بگم که این خبر کاملا جدی است و شوخی بردار نیست! اگر امنیت خود و اطلاعاتتون واستون مهمه! حتما این کار را باید انجام بدید و به تمام دوستان و آشنایان این مهم را اطلاع دهید.
تنها روش جلوگیری از نفوذپذیری و هک جیمیل:
۱- ابتدا با اطلاعات حساب کاربری خود وارد جیمیل شوید.
۲- در قسمت راست، بالای صفحه، گزینهٔ Settings را انتخاب کنید.
۳- در قسمت Browser Connection در قسمت پایینی صفحه، گزینهٔ Always use https را انتخاب کنید.
۴- دکمهٔ Save Changes را انتخاب کنید.
سلام علی جان یه سوال
من تو ایمیل یاهو یعنی تو اینباکس تعداد زیادی میل دارم میخوام اونهایی که قدیمی شدن رو پاک کنم نمیدونم چیجوری این کارو بکنم
لطفا راهنمایی کنید
علیرضا جان خیلی ساده شما اگه ADSL داری که نسخه یاهو میلت رو جدید کن بعد تو اینباکس برو و بعد هم میل هات رو مارک آل کن بعد اون هایی که جدید هستند رو تیکش رو بردار و بعد گزینه Delet رو بزن.
سلام
این سرویس برای کسانی که از برنامه های جانبی مثل outlook برای دیدن ایمیل استفاده میکنند هم مفیده؟ چون در اینجا بحث سر مرورگر بود.
نه برای نرم افزارها مشکلی نیست.
aga top az noe foladen
با سلام وارد جی میل میشوم اما نمیتونم ای میل ها مو باز کنم لطفا راهنماییم کنین
عزیز این کروم را آپدیت کن.
با سلام و با تشکر از شما بخاطر راهنمایی تون