Gmail是优秀的,甚至从垃圾邮件过滤能力及功能上看,它可能是最优秀的,但它并不是完美的。这听起来像是废话,但事实上,Gmail之所以不完美,最主要的原因是它依然存在着不少安全漏洞。除去用户密码保护环节薄弱及取回密码步骤繁琐不说,Gmail一直以来都被发现有XSS安全漏洞。 简单地说,当你不小心防问了某些网页后,你的Gmail设置可能会被修改了,而你一无所知。不相信?英国著名的图像设计师David Airey就是因为Gmail的这种漏洞而在本月失去了他的域名。
David Airey是小有名气的设计师,他的很多业务是直接来自他的个人网站davidairey.com的。正因为如此,黑客想劫持他的域名,再高价卖回给他。那黑客是怎样做到的呢?答案是利用Gmail的XSS漏洞(注:Google官方暂时还没有出来证实这一点,但目前有大量的第三方证据),更改了Gmail的过滤器设置,将与域名转移有关的邮件偷偷地转到了自己的邮箱里,然后在David Airey发觉之前,完成了域名的转移。之后,黑客更主动发邮件给David Airey,开价让他卖回自己的域名。而David Airey很气愤,决定不给黑客一分钱(其实黑客最高只开价650美元,其后更主动降价至250美元),欲通过法律手段解决。并且,他把整个事件的详细经过写上了他新开的网站Davidairey.co.uk上,以提醒所有Gmail用户。详细的过程可见此。
这的确是一件很令人同情的事件,尽管可能由于圣诞假期的缘故,Google还没有官方人员作出回应,但目前已有大量的第三方证据表示,这和Gmail存在的XSS安全漏洞有直接关系。要知道Gmail帐户是极其重要的,因为它几乎是整个Google产品体系的入口,一旦被黑,你的邮件、文档、图片、个人资料等等敏感信息全都会被他人获取。类似这样的事件已发生了多次,尽管每次的原因都尽相同。
我们可以从这次事件中得到怎样的警示呢?答案是马上检查你的Gmail设置里的过滤器列表,看看有没有多了一些额外的过滤器。在上述事件中,黑客之所以能得到David Airey的邮件,就是利用漏洞,在Gmail里设置了一个过滤器,将目标邮件转移了。当然,利用漏洞,黑客可以做更多的事,但这种更改过滤器的手段,却是最不容易令人察觉的,因为一般情况下,用户都不会天天去检查自己的过滤器列表。此外,当然就是不要轻易访问陌生的网页,以防中招。但一旦Gmail真的有这种漏洞,那么用户也只会防不胜防,无能为力了。
如果Google有官方回应,我再补充在这里。如果你也怀疑自己的Gmail被人动了手脚或干脆被盗了,请参考我们之前推荐的步骤。
更新:Google称它补复了这个漏洞。但我还是强烈建议你作一次检查。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |