Користувачі Gmail постраждали від уразливості в Firefox
19:14 12.01.2007Велике число користувачів поштового сервісу Gmail скаржаться на містичну пропажу з їх аккаунтов усіх повідомлень. Уперше ця подія одержала розголос на сайті Майкла Аррінгтона, де він повідомив, що говорити про Gmail як про досконалий сервіс поки ще зарано. Там же було розміщено перше повідомлення з Google Groups, що стосується зникнення вмісту електронних поштових скриньок.
Одне з перших повідомлень від користувача Gmail про подібний інцедент прийшло 19.12.2006. Як виявилося, більшість потерпілих користувалися браузером Firefox і знайшли пропажу контента при відкритті аккаунта через нього. Деякі користувачі одержали від зловмисників повідомлення про те, що проти них була проведена атака.
Один з користувачів стверджує, що що для атаки була використана уразливість Firefox 2.0, що була пізніше закрита версією 2.0.0.1. Усього ж у результаті інциденту були “очищені” 60 аккаунтів користувачів. Google принесла офіційні вибачення потерпілим і заявила про початок робіт із з’ясування причин інциденту. Витерті послання і контакти Gmail, до речі, не підлягають відновленню.
По матеріалам http://www.secblog.info.
П'ятниця, 23:09 12.01.2007
Нічого собі! Подія дійсно серйозна, але до чого тут Firefox?
П'ятниця, 23:41 12.01.2007
FireON, проблема як раз проявляється в ФФ2, бо зловмисники використовують уразливість в Firefox 2.0, тому рекомендую оновити браузер до версії 2.0.0.1.
Тобто через дірку в браузері атакують користувачів Gmail. Сам ним не користуюся, тому не можу підвердити. Я лише знайшов цікаву новину на секюріті тему, переклав на українську і опублікував
, саму уразливість не тестував.
Субота, 12:59 13.01.2007
так, Google не може закривати усі дірки замість розробників браузерів, нічого особливого у тому Фєрфоксі немає, він принаймні в Україні дуже слабо юзається, люди його в основному його ставлять спробувати та із-за того, що побачили гарний банер “Рекомендуємо Фаерфокс!”
1f47Субота, 14:55 13.01.2007
З однієї сторони, guman, ти правий - бо не наймалися розробники веб сайтів та веб сервісів фіксити свої додатки ради уразливості в якомусь одному браузері. Але можливі й інші варіанти.
В залежності від ситуації (і конкретної уразливості), можливі разні варінти: не виправляти (хай розробники браузера виправляють), виправляти (бо дуже серйозна діра і поширена) і “50 на 50″ (можна виправити або ні, в залежності від ситуації на сайті). Останній варіант, і навіть два останніх, стосуються UXSS уразливості (про яку я ще буду детально розповідати).
В цих випадках, треба дивитися поширеність браузерів серед відвідувачів. Якщо питома вага FF (чи інший) має достатньо вилике значення (межу кожен встановлює сам), то варто самотужки пофіксити, щоб не чекати, поки юзери самі почнуть оновлювати свої браузери (бо це на довго розтягнеться). Тобто треба враховувати актуальність.