2007年8月4日星期六

保护你的Google 帐户的安全

Gmail Hacker:Robert Graham

图片上的男子名叫Robert Graham,他正在向现场观众演示他如何成功侵入基于Web的电子邮件应用(如:Gmail、Yahoo Mail)。或者用IP地址和用户名登录Hotmail而无需任何密码。感觉很恐怖?不过这确实是发生了。他是通过使用一些叫Ferret(用来复制Gmail的cookies到他的电脑)和Hamster(用来在他的浏览器使用这些cookies)的嗅探工具来做到的。

不过虽然存在安全漏洞,但这个漏洞也不是没有办法抵御的。Robert的方法只有在你使用HTTP模式访问你的邮箱时才有效。因此最好的方法就是永远使用安全登录模式。

此外当你使用Wi-Fi接入互联网时,使用https://代替http://。以下三种方案都将使该安全漏洞失效,以达到保护你的Google 帐户的安全的效果:

  1. 使用这个URL来访问Gmail
  2. 使用这个URL来访问iGoogle
  3. 使用基本 HTML视图的Gmail

此外,如果你是Firefox用户你可以通过安装CustomizeGoogle扩展,CustimizeGoogle将确保你在忘记使用https://访问Gmail时仍然使用https加密模式来访问(via Amit)。

不仅仅对于Google的服务如此,当网页有https版本的时候我都推荐使用https版本来访问。不仅仅是由于安全性更高的原因,也是因为https版本的数据是使用SSL协议加密的,因此和http版本的明文数据不同,无法被GFW进行关键词审查。曾几何时维基百科被封期间还可通过https的版本来访问呢。

Update:感谢mjjin告知,Lifehacker开发的Firefox扩展--Better Gmail也有自动进入https版本的功能,此外Better Gmail还整合了不少优秀的Gmail Greasemonkey脚本,推荐使用。

2 条评论:

Unknown 说...

转载到solidot
http://internet.solidot.org/article.pl?sid=07/08/04/1344249

mjjin 说...

在firefox下使用Better Gmail插件可以预览每封电子邮件的内容,也可以自动进入https版本哦.