|
gmail 垃圾邮件过滤器出现安全问题
|
来源: 2007-12-28 14:02:44
|
gmail是优秀的,甚至从垃圾邮件过滤能力及功能上看,它可能是最优秀的,但它并不是完美的。这听起来像是废话,但事实上,gmail之所以不完美,最主要的原因是它依然存在着不少安全漏洞。除去用户密码保护环节薄弱及取回密码步骤繁琐不说,gmail一直以来都被发现有xss安全漏洞。简单地说,当你不小心防问了某些网页后,你的gmail设置可能会被修改了,而你一无所知。不相信?英国著名的图像设计师david airey就是因为gmail的这种漏洞而在本月失去了他的域名。 david airey是小有名气的设计师,他的很多业务是直接来自他的个人网站davidairey.com的。正因为如此,黑客想劫持他的域名,再高价卖回给他。那黑客是怎样做到的呢?答案是利用gmail的xss漏洞(注:google官方暂时还没有出来证实这一点,但目前有大量的第三方证据),更改了gmail的过滤器设置,将与域名转移有关的邮件偷偷地转到了自己的邮箱里,然后在david airey发觉之前,完成了域名的转移。 之后,黑客更主动发邮件给david airey,开价让他卖回自己的域名。而david airey很气愤,决定不给黑客一分钱(其实黑客最高只开价650美元,其后更主动降价至250美元),欲通过法律手段解决。并且,他把整个事件的详细经过写上了他新开的网站davidairey.co.uk上,以提醒所有gmail用户。详细的过程可见此。 这的确是一件很令人同情的事件,尽管可能由于圣诞假期的缘故,google还没有官方人员作出回应,但目前已有大量的第三方证据表示,这和gmail存在的xss安全漏洞有直接关系。要知道gmail帐户是极其重要的,因为它几乎是整个google产品体系的入口,一旦被黑,你的邮件、文档、图片、个人资料等等敏感信息全都会被他人获取。类似这样的事件已发生了多次,尽管每次的原因都尽相同。 我们可以从这次事件中得到怎样的警示呢?答案是马上检查你的gmail设置里的过滤器列表,看看有没有多了一些额外的过滤器。在上述事件中,黑客之所以能得到david airey的邮件,就是利用漏洞,在gmail里设置了一个过滤器,将目标邮件转移了。当然,利用漏洞,黑客可以做更多的事,但这种更改过滤器的手段,却是最不容易令人察觉的,因为一般情况下,用户都不会天天去检查自己的过滤器列表。此外,当然就是不要轻易访问陌生的网页,以防中招。但一旦gmail真的有这种漏洞,那么用户也只会防不胜防,无能为力了。
|