PDA

Ver la versión completa : Gmail debería usar SSL siempre



LUK
20-08-2008, 19:20
La conferencia Defcon para hackers que se está desarrollando en Las Vegas ha demostrado una vulnerabilidad en Gmail que permite a un atacante robar el ID de una sesión no cifrada en Gmail, algo que debería obligar a Google a usar siempre conexiones seguras SSL para este servicio.

Hace unos días Google introdujo una novedad en Gmail que permitía que se utilizase SSL en toda la sesión con este cliente webmail y no sólo durante la autenticación. Esta opción es especialmente útil, pero debería estar activada de serie por la sencilla razón de que actualmente la seguridad de la conexión “no-SSL” está en compromiso.

Así lo han demostrado un grupo de hackers que han logrado obtener el ID de una cuenta de Gmail a pesar de que durante el proceso de autenticación Google sí usa conexiones SSL de serie. Sin embargo luego se vuelve a conexiones no seguras, algo que Google argumenta afirmando que las conexiones SSL requieren más ancho de banda y de este modo los usuarios con conexiones lentas pueden acceder rápidamente al servicio.

Enlaces:
Hungry-Hackers (http://www.hungry-hackers.com/2008/08/gmail-account-hacking-tool.html)