Nowe błędy w GMail
- Paweł Krawczyk,
- 13.01.2005, godz. 13:37
Badacze z HBX Networks odkryli w serwisie GMail błędy, pozwalające na czytanie cudzej poczty.
Błąd został odkryty podczas testowania napisanego w Perlu skryptu do rozsyłania newslettera do zaprzyjaźnionych osób. Skrypt nieprawidłowo budował adres email nadawcy, zapominając o nawiasie trójkątnym na końcu adresu.
Odbiorca takiego listu otrzymywał "prezent" w postaci losowych fragmentów cudzej poczty. Biorąc pod uwagę charakterystykę błędu, można przypuszczać że oryginalna aplikacja GMail w którymś miejscu nie zauważa braku nawiasu kończącego linię i dokleja do wysyłanej poczty przypadkowy blok pamięci - w tym przypadku zawierający cudzą pocztę.
Serwis GMail jest wciąż w fazie beta, nie należy więc mieć specjalnych pretensji że są w nim znajdowane dziury.
Problem ten jest jednak dobrym przykładem jak łatwo popełniać w aplikacjach webowych błędy, mające duży wpływ na bezpieczeństwo.
Więcej informacji: http://dump.hbx.us/gmail_bug_hack/
Google poinformowało o załataniu błędów odkrytych w GMail przez HBX. Czy na długo? Przypomnijmy że niedawno odkryto również błędy w Google Desktop Search, a wcześniej w 2004 roku głośne były dziury w innych serwisach udostępniajacych email przez WWW - Hotmail i Yahoo.
Google, znane do tej pory jako firma stawiająca prostotę i bezpieczeństwo bardzo wysoko na liście priorytetów, ewoluowała do korporacji - wraz ze wszystkimi związanymi z tym konsekwencjami.