Gmail是優秀的,甚至從垃圾郵件過濾能力及功能上看����,它可能是最優秀的�����,但它并不是完美的�����。這聽起來像是廢話,但事實上,Gmail之所以不完美����,最主要的原因是它依然存在著不少安全漏洞�。除去用戶密碼保護環節薄弱及取回密碼步驟繁瑣不說�,Gmail一直以來都被發現有XSS安全漏洞。簡單地說�����,當你不小心防問了某些網頁后����,你的Gmail設置可能會被修改了,而你一無所知�。不相信��?英國著名的圖像設計師David Airey就是因為Gmail的這種漏洞而在本月失去了他的域名。
David Airey是小有名氣的設計師���,他的很多業務是直接來自他的個人網站davidairey.com的。正因為如此,黑客想劫持他的域名�,再高價賣回給他�����。那黑客是怎樣做到的呢?答案是利用Gmail的XSS漏洞(注:Google官方暫時還沒有出來證實這一點,但目前有大量的第三方證據)�����,更改了Gmail的過濾器設置����,將與域名轉移有關的郵件偷偷地轉到了自己的郵箱里,然后在David Airey發覺之前����,完成了域名的轉移����。
之后��,黑客更主動發郵件給David Airey���,開價讓他賣回自己的域名。而David Airey很氣憤����,決定不給黑客一分錢(其實黑客最高只開價650美元���,其后更主動降價至250美元)��,欲通過法律手段解決。并且��,他把整個事件的詳細經過寫上了他新開的網站Davidairey.co.uk上���,以提醒所有Gmail用戶�。詳細的過程可見此。
這的確是一件很令人同情的事件�,盡管可能由于圣誕假期的緣故���,Google還沒有官方人員作出回應����,但目前已有大量的第三方證據表示����,這和Gmail存在的XSS安全漏洞有直接關系。要知道Gmail帳戶是極其重要的�����,因為它幾乎是整個Google產品體系的入口�����,一旦被黑���,你的郵件、文檔、圖片�、個人資料等等敏感信息全都會被他人獲取���。類似這樣的事件已發生了多次�����,盡管每次的原因都盡相同�����。
我們可以從這次事件中得到怎樣的警示呢?答案是馬上檢查你的Gmail設置里的過濾器列表�,看看有沒有多了一些額外的過濾器����。在上述事件中�����,黑客之所以能得到David Airey的郵件�,就是利用漏洞����,在Gmail里設置了一個過濾器,將目標郵件轉移了�����。當然���,利用漏洞����,黑客可以做更多的事���,但這種更改過濾器的手段���,卻是最不容易令人察覺的�����,因為一般情況下����,用戶都不會天天去檢查自己的過濾器列表���。此外���,當然就是不要輕易訪問陌生的網頁����,以防中招。但一旦Gmail真的有這種漏洞�,那么用戶也只會防不勝防�,無能為力了��。
