2008/08/19 Gmail Account Hacking Tool | Hacking Truths

 訳がちょっと妙なのは愛嬌って事で。

A tool that automatically steals IDs of non-encrypted sessions and breaks into Google Mail accounts has been presented at the Defcon hackers’ conference in Las Vegas.

 自動で暗号化されていないセッションのID を盗み、Google Mail (Gmail) アカウントを乗っ取るツールが、ラスベガスのDefcon ハッカーズカンファレンスで発表された。

Last week Google introduced a new feature in Gmail that allows users to permanently switch on SSL and use it for every action involving Gmail, and not only, authentication. Users who did not turn it on now have a serious reason to do so as Mike Perry, the reverse engineer from San Francisco who developed the tool is planning to release it in two weeks.

 先週、GoogleGmail の新機能として、認証などのGmail での全ての処理を永続的にSSL に切り替えるよう変更するユーザ設定を発表した。Mike Perry のように、その設定に切り替えていないユーザは深刻な問題を抱えている。リバースエンジニアはそのツールを二週間後にサンフランシスコからリリースする計画だ。

When you log in to Gmail the website sends a cookie (a text file) containing your session ID to the browser. This file makes it possible for the website to know that you are authenticated and keep you logged in for two weeks, unless you manually hit the sign out button. When you hit sign out this cookie is cleared.

 Gmail にログインした際に送信されるクッキー(テキストファイル)は、ブラウザのためのセッションID を含んでいる。このファイルはウェブサイトが認証を確認して、手動でサインアウトしない限り二週間ログイン状態を保つことを可能にしている。サインアウトすると、クッキーはクリアされる。

Even though when you log in, Gmail forces the authentication over SSL (Secure Socket Layer), you are not secure because it reverts back to a regular unencrypted connection after the authentication is done. According to Google this behavior was chosen because of low-bandwidth users, as SLL connections are slower.

 Gmail ではログインのときには強制的にSSL(Secure Socket Layer) で認証に切り替えるが、認証の後の通常の接続は暗号化されていないため、安全とは言いがたい。Google によればSSL 接続*1 が非常に遅い低帯域ユーザのための選択だという。

The problem lies with the fact that every time you access anything on Gmail, even an image, your browser also sends your cookie to the website. This makes it possible for an attacker sniffing traffic on the network to insert an image served from http://mail.google.com and force your browser to send the cookie file, thus getting your session ID. Once this happens the attacker can log in to the account without the need of a password. People checking their e-mail from public wireless hotspots are obviously more likely to get attacked than the ones using secure wired networks.

 問題は例え1枚の画像でさえもGmail 上のアクセスでブラウザからウェブサイトにクッキーが送信されていることだ。これはアタッカーがネットワーク上のトラフィックを盗聴することで、http://mail.google.com から画像を受け取る際に送信されるクッキーファイルから、セッションID を取得できることを意味する。一度でもこれが起これば、アタッカーはパスワードを必要とせずにアカウントにログインできてしまう。とりわけ安全な有線ネットワークよりも、公共の無線ホットスポットなどでメールチェックする人にとっては明らかに問題だ。

Perry mentioned that he notified Google about this situation over a year ago and even though eventually it made this option available, he is not happy with the lack of information. “Google did not explain why using this new feature was so important” he said. He continued and explained the implications of not informing the users, “This gives people who routinely log in to Gmail beginning with an https:// session a false sense of security, because they think they’re secure but they’re really not.”

 Perry はこの状況について一年以上前にGoogle に通知して、オプションが利用可能にはなったが、情報が不十分であることを言及した。「Google はなぜこの新しい機能を利用することがどれだけ重要なのか説明していない」 続けて、ユーザに通知されていない意味をこう説明する。「これはGmailhttps:// セッションでログインしているから安全だという誤った印象を与える。実際には安全でないにも関わらず」

If you are logging in to your Gmail account from different locations and you would like to benefit from this option only when you are using unsecured networks, you can force it by manually typing https://mail.google.com before you log in. This will access the SSL version of Gmail and it will be persistent over your entire session and not only during authentication.

もし異なるロケーションからGmail アカウントにログインしていて、かつ安全ではないネットワークを利用するときにだけこのオプションを利用することを望むなら、ログインの前に手動でhttps://mail.google.com をタイプすることで強制できる。SSL バージョンのGmail にアクセスすることで、認証だけでなく全てのセッションが永続的になるだろう。

ところでHOST サービスのGmail では

 設定画面にスイッチがないのね。

 URL をhttps:// にすれば同じことだってんで、あまり気にしちゃいないけど。

*1:SLL connections とあるが、SSL connections のtypo だろう

第5弾/金魚屋DBTable 拡張Mambot

 金魚屋開発支援シリーズ第5弾。

 手抜き屋のためのmosDBTable 拡張 Mambot。

 機能を強化。

はじめに

  • 以下あらゆる著作物の利用に関して著作者は一切の責任を負いません。
  • 以下あらゆる著作物の著作権は金魚屋ですが、とりたてて利用に制限はありません。
  • 利用にはHTML とPHP について多少の知識が必要です。
  • ツッコミ大歓迎。
  • 細かいところは解説しません。
  • 設定とか間違えるとエラー吐きます。

NAME

KingyoyaDBTable - 金魚屋 DBTable 拡張Mambot

HISTORY

2008-08-26 Version 1.1.0
  • find() でクエリ結果リソースを直接扱うことにより処理を高速化。
  • メソッド findBy() 追加
  • メソッド makeFindQuery() 追加
  • メソッド execFindQuery() 追加
  • メソッド load() でクエリ結果リソースを利用できるよう修正。
2008-04-11 Version 1.0.1

 factory() がおかしかったので修正。

2008-04-11 Version 1.0.0

 公開

動作環境

  • Joomla 1.0.x

目的

  • なんかもー色々めんどくさくなったので、mosDBTable を拡張しちまえってことです。
  • 単純なクエリで複数レコードを取得できるよう拡張
  • JOIN ムリ。Joomla! ですから。
  • com_kingyoya_mosabstract とcom_kingyoyoa_dbtable で提供していたクラスをmosKingyoyaDBTable に統合してmambot で提供。
  • ついでにいくつか便利そうな関数を追加。
続きを読む