有关Google服务安全性的技术讨论
来源:互联网 发布:访客网速影响主网络吗 编辑:程序博客网 时间:2024/05/03 14:05
我的观点:无论如何不要在已经登录的情况下使用HTTP访问Google.com上的服务,包括网页搜索。
攻击过程:你使用HTTP登陆Google Reader(这里仅是举例,实际可以是Google Docs,Google Web Search,etc),然后中间人记录cookies,接下来使用截获的cookies和你的IP(对于一些攻击者来说,做到这点很容易)访问Google Reader,然后点左上角的Gmail链接进入HTTPS的Gmail界面。这个过程中会被引导到Google的单点登录验证页面(https://www.google.com/accounts/...),可是并没有要求攻击者再次输入密码。
注:
根据这个 http://voices.washingtonpost.com/securityfix/2008/08/new_tool_automates_cookie_stea.html ,如果页面上存在http方式调用的同服务器上的图片等资源,也会导致cookie泄露。所以最好能确保连接安全(比如由非对称加密原理保护的VPN连接)。
上网环境的443端口被封时可以通过代理服务器访问https的服务,即使是不安全的http代理,只要不提示https证书有问题,那就没有问题。举例:自由gate。
Google有时在切换服务时会要求再次验证密码,比如切进Google App Engine(appengine.google.com)时。但从大部分服务切进Gmail时似乎不会。
目前功夫网对于一些Google Docs和Google Reader的HTTPS连接会直接切断(前者更多一些),此时如果改用http访问就中计了。
- 有关Google服务安全性的技术讨论
- 有关Google服务安全性的技术讨论
- 有关“中国技术落后一代”的讨论
- WebService 安全性的讨论
- WebService 安全性的讨论
- 有关rest的讨论
- 有关sizeof的讨论
- 有关死锁的讨论
- 有关信号量的讨论
- 有关数据库连接安全性的考虑
- 有关WEB应用的安全性
- sshd服务的安全性
- 【讨论】malloc的可重入性和线程安全性
- WebService的安全性讨论【身份识别】
- WebService的安全性讨论【身份识别】
- VPN及其安全性问题的讨论
- 有关设计的一场讨论
- 有关随机数的一些讨论
- 全排列的生成算法
- 电脑辐射----每天用电脑4-6小时的人必看
- 开始的历程
- session的几个主要方法
- 我做到了 我坚持下来了!O(∩_∩)O哈哈~
- 有关Google服务安全性的技术讨论
- 分啊
- HibernateUtil类(可用于连接多个数据库)
- 【转】从招聘中看计算机专业的研究生缺什么
- CMS模版引擎介绍
- 幽幽 你要振作
- .net PK abap该何去何从!!
- ERP培训感言
- 学习C语言,乐在其中