Комментарии 87
Спасибо за статью… Незнал =(… Безопасность дороже всего.
Поправьте ссылочку на программу The Middler
Прямо вижу, как хабрапользователи в едино порыве понеслись в настройки ящика ставить заветную галочку :)
Там RadioButton =) только что проверил.
Вот и не в едином, в миниопере (четвертой) при этой функции вечно напоминает что браузер не так хорош, поэтому проще ссылку поменять на https.
Ведь одинаково же выходит?
Ведь одинаково же выходит?
Почти наверняка подвержены. Другое дело что скрипт может потребоваться чуток подправить.
Если сеть настроена криворукими админами (а такое бывает в небольших сетях), то доступ ко всему трафику на свиче/хабе может получить любой подключенный к этому свичу/хабу компьютер.
Ошибаетесь на счет руби.
Так оттуда же нельзя будет открывать ссылки в оперу… Или там лучший браузер?
/me оглянулся
Кажется за мной следят :)
Кажется за мной следят :)
Я полез проверить, стоит галочка =)
gmail notifier перестал работать
*Note: If you've enabled the 'Always use https' setting in Gmail, you'll need to install a patch for the Notifier to work with this setting:
www.google.com/mail/help/downloads/notifier_https.zip
www.google.com/mail/help/downloads/notifier_https.zip
используй GTalk
А кроме него еще и мобильный gmail не работет. По крайней мере который для симбиана — не знаю насколько Java версия отличается.
Странно, у меня работает без проблем. Версия 0.6.3.8
Как по мне — так не велика потеря: у gmail manager функционал повыше будет.
Поправьте адрес на https://mail.google.com
Плюс можно вводить более короткий https://gmail.com
Плюс можно вводить более короткий https://gmail.com
а что, много злоумышленников имеют доступ к гейтвеям вашей сети, прова или оператора, с правами установки софта?
Что-то новость какая-то не впечатляющая. Или никто раньше не слышал про снифферы?
Что-то новость какая-то не впечатляющая. Или никто раньше не слышал про снифферы?
Люди имеют обыкновение складывая 1 и 1 получать не 2, а 1+1.
А вот что действительно интересно — это патч для Gmail Notifier. Я его раньше не находил.
А вот что действительно интересно — это патч для Gmail Notifier. Я его раньше не находил.
Middler — патч к нотифаеру?? 0_о
может, вы каментом ошиблись? )))
может, вы каментом ошиблись? )))
Нет :) Я не об этой поделке, я о habrahabr.ru/blogs/web_security/37792/#comment_888685
1. Доступ имеют админы прова, среди которых далеко не все порядочные люди с благими намерениями. Так же доступ легко получить подменив локльной сети на чердаке дома на свой сервак.
2. Одно дело гипотетический сниффер, другое дело готовый опенсурсный анализатор трафика, который показательно расправляется с защитой.
2. Одно дело гипотетический сниффер, другое дело готовый опенсурсный анализатор трафика, который показательно расправляется с защитой.
цитирую:
Дело в том, что SSL всегда используется в Gmail и других сервисах только во время аутентификации. Если вышеупомянутая опция (“Always use https”) не активирована, то после аутентификации SSL отключается
Не отключается, если изначально входить через HTTPS:
https://mail.google.com
Желающие могут проверить, вставив фиктивный прокси для протокола HTTP В настройках браузера.
Опция появилась раньше, сам лично наблюдал ее еще весной.
Дело в том, что SSL всегда используется в Gmail и других сервисах только во время аутентификации. Если вышеупомянутая опция (“Always use https”) не активирована, то после аутентификации SSL отключается
Не отключается, если изначально входить через HTTPS:
https://mail.google.com
Желающие могут проверить, вставив фиктивный прокси для протокола HTTP В настройках браузера.
Опция появилась раньше, сам лично наблюдал ее еще весной.
Если вам нужно использовать защищённое соединение только изредка, то в этих редких случаях можете заходить в ящик с адреса mail.google.com, и тогда SSL работает в течение всей сессии, даже если опция не активирована.
Должно быть: «с адреса https:// … », подправьте пожалуйста.
Должно быть: «с адреса https:// … », подправьте пожалуйста.
Кстати, ещё одна ошибка, но маловажная: правильно «в течении» ;-)
Товарищ, вы заблуждаетесь. Как раз таки тут «в течение», ибо имеется ввиду промежуток времени, «в течении» будет употребляться, когда течение выступает в роли существительного, например, в течении реки, а здесь «в течение» производный предлог.
Маловажно, но все же :)
Маловажно, но все же :)
> SSL работает в течение всей сессии
Какой это по вашему падеж?
Какой это по вашему падеж?
да нет, таки вы ошибаетесь, хоть это и маловажно :)
правильно как раз «в течениЕ»
правильно как раз «в течениЕ»
а в Google API еще нету такой фичи :(
Да и не только такое можено написать на ruby, воспользовавшись гемом Mechanize
вот как можно из самой программы(самое прсото что можно сделать, после тупого выдирания контента) зайти на сайт и заполнить формочку:
form = page.forms.first # берем первую попавшуюся форму и все инпуты доступны нам сразу же через хеш
form['name'] = 'Zloydadka'
form.submit # отправляем )))
вот как можно из самой программы(самое прсото что можно сделать, после тупого выдирания контента) зайти на сайт и заполнить формочку:
form = page.forms.first # берем первую попавшуюся форму и все инпуты доступны нам сразу же через хеш
form['name'] = 'Zloydadka'
form.submit # отправляем )))
Да. Даже Гугл, оказывается, не идеален. безопасность прежде всего!
Спасибо автору!
Спасибо автору!
Спасибо автору. Пошол включать “Always use https”!
А есть способ включить в апсах такую же фишку?
Например хитровыдуманной ссылкой?
Например хитровыдуманной ссылкой?
Как хорошо, что с самого начала, практически несколько лет назад, закинул на панель закладок адрес https://
Сессии вообще слабое место практически любого сайта.
Например в сапе долгое время действовал uid сессии даже после смены пароля(!)
Сессии вообще слабое место практически любого сайта.
Например в сапе долгое время действовал uid сессии даже после смены пароля(!)
Для Firefox есть хорошее расширение CustomizeGoogle, которое позволяет переключить большинстве сервисов на https, где это возможно.
А так, получается дырка на других сервисах, с помощью которой можно вскрыть любой Gmail ящик :)
А так, получается дырка на других сервисах, с помощью которой можно вскрыть любой Gmail ящик :)
123
234
Фигня какая-то… Вот сижу я в гугле по незащищенному каналу. Как мой сосед, Вася Пупкин при помощи этой проги мою почту будет читать?
Давайте тогда уж вспомним про ARP-спуфинг, который и защищенные соединения позволит перехватывать…
Давайте тогда уж вспомним про ARP-спуфинг, который и защищенные соединения позволит перехватывать…
«вмешательство в процесс апдейта программного обеспечения на ПК и iPhone»
Интересно… а поподробнее можно?
Интересно… а поподробнее можно?
Файрфоксный плагин CustomizeGoogle имел галочку «принудительно использовать https» уже фиг знает когда. И параноики типа меня пользовались :)
А на публичных хотспотах и вовсе лучше весь свой трафик шифровать. Это, к примеру очень просто, если есть ssh-логин куда-нибудь.
А на публичных хотспотах и вовсе лучше весь свой трафик шифровать. Это, к примеру очень просто, если есть ssh-логин куда-нибудь.
В слайдах к презентации стоит урл https://intelguardians.com/TheMiddler,
но https там не работает, а по http пишет 404
Видимо еще не выложили
но https там не работает, а по http пишет 404
Видимо еще не выложили
Найдено за минуту гугляния ;-)
www.defcon.org
blogs.zdnet.com/security/? p=1735
www.intelguardians.com/themiddler.html
www.defcon.org
blogs.zdnet.com/security/? p=1735
www.intelguardians.com/themiddler.html
Как страшно жить. Но, покорнейше благодарю, поставил галочку.
а как с google apps for domains?
нет галочки для google hosted сайтов. видать счиают, для бизнеса это не так критично
нет галочки для google hosted сайтов. видать счиают, для бизнеса это не так критично
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
The Middler: программа для взлома незащищённых аккаунтов Gmail