جیمیل شما در خطر هک است، لطفا جدی بگیرید!
جیمیل شما در خطر هک است، لطفا جدی بگیرید!
جیمیل شما در خطر هک است، لطفا جدی بگیرید!
در کنفرانس Defcon Hackers که اخیرا در لاسوگاس برگزار شد، ابزاری برای سرقت خودکار شناسههای (ID) رمزگذاری نشدهٔ (non-encrypted) نشستها (Sessions) و ورود مخفیانه به حسابهای میل گوگل (جیمیل) معرفی شد.
هفتهٔ پیش گوگل یک امکان جدید را در جیمیل معرفی کرد که به کاربران اجازه میدهد که به صورت کامل از SSL در همهٔ اعمال، از جمله جیمیل استفاده کنند (نه فقط برای شناسایی و ورود). کاربرانی که این امکان را هنوز روشن نکردهاند، حالا یک دلیل جدی دارند که هر چه زودتر، از این ابزار جدید گوگل استفاده کنند. مایک پری، یک مهندس معکوس از سان فرانسیسکو که ابزار سرقت خودکار شناسههای رمزگذاری نشدهٔ نشستهای گوگل را نوشته، در نظر دارد تا در ۲ هفته این ابزار را منتشر کند.
وقتی که شما وارد جیمیل میشوید (Login)، وبسایت جیمیل یک کوکی (یک پروندهٔ متنی) شامل شناسهٔ نشست شما را به مرورگر ارسال میکند. این پرونده (File) به وبسایت این امکان را میدهد که شما را به عنوان یک کاربر «تایید هویت شده» و وارد شده، برای دو هفته بشناسد (مگر اینکه خودتان از جیمیل خارج -Sign Out- شوید). یعنی هنگامی که شما Sign out را میزنید، کوکی پاک میشود.
حتی اگر ازبرای وارد شدن به جیمیل از «تایید هویت از طریق SSL» استفاده میکنید. کافی نیست، اصلا امن نیست! چون بعد از مرحلهٔ تایید هویت (Authentication)، به حالت اتصال معمولی رمزگذاری نشده برمیگردد. بنا به گفتهٔ گوگل، این رفتار جیمیل به خاطر اینترنت کمسرعت کاربران انتخاب شده است چون اتصالات SSL ای (SSL Connections) کند هستند.
همچنین آقای پری ذکر کرد که خود او، گوگل را حدود یک سال پیش از این ماجرا مطلع کرده است. با این حال، ناراحتی او از کمبود اطلاعرسانی است. او میگوید، «گوگل پس از معرفی امکان جدید خود، دلیل استفاده از آنرا به کاربران اطلاع نداده است.» همچنین او اشاره کرد که کسانی که از نشستهای https:// برای ورود به جیمیل استفاده میکنند نیز در خطر حمله هستند، و تنها راه جلوگیری از هک شدن، فعالکردن امکان جدید جیمیل است.
پس اگر برای ورود به حساب جیمیل خود از مکانهای مختلفی استفاده میکنید، هیچ وقت فکر نکنید که اگر با آدرس https://mail.google.com وارد جیمیل شوید، میتوانید از هک شدن جلوگیری کنید.
منبع: سیستم ایران (به نقل از Slashdot)
پینوشت نویسنده: چون در ایران، شبکههای ما از امنیت بالایی برخودار نیستند و ISP های ما میتوانند به عنوان نفوذگر با این روش عمل کنند، با اینکه با فعال کردن امکان جدید جیمیل، سرعت جیمیل کند میشود، باید از آن استفاده کنید (اگر نمیخواهید هک شوید)!!! در ادامه باید به عنوان یک مدیر شبکه و یک کاربر حرفهای بگم که حتی اگر فقط از شرکت یا سازمان خود وارد جیمیل میشوید، حتما این امکان را فعال کنید، چون هیچ فردی جز خود شما مورد اعتماد نیست.
در ادامه، یک راهنمای تصویری برای فعال کردن امکان Always Use HTTPS جیمیل قرار دارد.
تنها روش جلوگیری از نفوذپذیری و هک جیمیل:
۱- ابتدا با اطلاعات حساب کاربری خود وارد جیمیل شوید.
۲- در قسمت راست، بالای صفحه، گزینهٔ Settings را انتخاب کنید.
۳- در قسمت Browser Connection در قسمت پایینی صفحه، گزینهٔ Always use https را انتخاب کنید.
۴- دکمهٔ Save Changes را انتخاب کنید.
منبع:www.mywindows.ir
ارسال توسط کاربر محترم سایت :goldsom
هفتهٔ پیش گوگل یک امکان جدید را در جیمیل معرفی کرد که به کاربران اجازه میدهد که به صورت کامل از SSL در همهٔ اعمال، از جمله جیمیل استفاده کنند (نه فقط برای شناسایی و ورود). کاربرانی که این امکان را هنوز روشن نکردهاند، حالا یک دلیل جدی دارند که هر چه زودتر، از این ابزار جدید گوگل استفاده کنند. مایک پری، یک مهندس معکوس از سان فرانسیسکو که ابزار سرقت خودکار شناسههای رمزگذاری نشدهٔ نشستهای گوگل را نوشته، در نظر دارد تا در ۲ هفته این ابزار را منتشر کند.
وقتی که شما وارد جیمیل میشوید (Login)، وبسایت جیمیل یک کوکی (یک پروندهٔ متنی) شامل شناسهٔ نشست شما را به مرورگر ارسال میکند. این پرونده (File) به وبسایت این امکان را میدهد که شما را به عنوان یک کاربر «تایید هویت شده» و وارد شده، برای دو هفته بشناسد (مگر اینکه خودتان از جیمیل خارج -Sign Out- شوید). یعنی هنگامی که شما Sign out را میزنید، کوکی پاک میشود.
حتی اگر ازبرای وارد شدن به جیمیل از «تایید هویت از طریق SSL» استفاده میکنید. کافی نیست، اصلا امن نیست! چون بعد از مرحلهٔ تایید هویت (Authentication)، به حالت اتصال معمولی رمزگذاری نشده برمیگردد. بنا به گفتهٔ گوگل، این رفتار جیمیل به خاطر اینترنت کمسرعت کاربران انتخاب شده است چون اتصالات SSL ای (SSL Connections) کند هستند.
همچنین آقای پری ذکر کرد که خود او، گوگل را حدود یک سال پیش از این ماجرا مطلع کرده است. با این حال، ناراحتی او از کمبود اطلاعرسانی است. او میگوید، «گوگل پس از معرفی امکان جدید خود، دلیل استفاده از آنرا به کاربران اطلاع نداده است.» همچنین او اشاره کرد که کسانی که از نشستهای https:// برای ورود به جیمیل استفاده میکنند نیز در خطر حمله هستند، و تنها راه جلوگیری از هک شدن، فعالکردن امکان جدید جیمیل است.
پس اگر برای ورود به حساب جیمیل خود از مکانهای مختلفی استفاده میکنید، هیچ وقت فکر نکنید که اگر با آدرس https://mail.google.com وارد جیمیل شوید، میتوانید از هک شدن جلوگیری کنید.
منبع: سیستم ایران (به نقل از Slashdot)
پینوشت نویسنده: چون در ایران، شبکههای ما از امنیت بالایی برخودار نیستند و ISP های ما میتوانند به عنوان نفوذگر با این روش عمل کنند، با اینکه با فعال کردن امکان جدید جیمیل، سرعت جیمیل کند میشود، باید از آن استفاده کنید (اگر نمیخواهید هک شوید)!!! در ادامه باید به عنوان یک مدیر شبکه و یک کاربر حرفهای بگم که حتی اگر فقط از شرکت یا سازمان خود وارد جیمیل میشوید، حتما این امکان را فعال کنید، چون هیچ فردی جز خود شما مورد اعتماد نیست.
در ادامه، یک راهنمای تصویری برای فعال کردن امکان Always Use HTTPS جیمیل قرار دارد.
تنها روش جلوگیری از نفوذپذیری و هک جیمیل:
۱- ابتدا با اطلاعات حساب کاربری خود وارد جیمیل شوید.
۲- در قسمت راست، بالای صفحه، گزینهٔ Settings را انتخاب کنید.
۳- در قسمت Browser Connection در قسمت پایینی صفحه، گزینهٔ Always use https را انتخاب کنید.
۴- دکمهٔ Save Changes را انتخاب کنید.
منبع:www.mywindows.ir
ارسال توسط کاربر محترم سایت :goldsom
/ج
مقالات مرتبط
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}