Så kan Gmail-användare skydda sin e-post från att bli stulen

2007-09-26 — Webbsnack

Google har problem just nu. Ett flertal olika tekniker för att stjäla Gmail-användarnas e-post har upptäckts. Attackerna sker via andra webbsidor, utan att användaren märker någonting. Minst en av teknikerna lägger till ett filter i Gmail som skickar vidare ens e-post till en annan adress. Läs mer om teknikerna här och här.

Det finns två väldigt bra sätt att skydda sig från dessa attacker.

  1. Det lättaste sättet är logga ut från Google så fort du inte längre behöver vara inloggad.
  2. Det andra sättet är att använda webbläsaren Firefox och installera tillägget NoScript. NoScript ser till att JavaScript endast exekveras på de sidor som du själv tillåter. För att Gmail skall fungera måste du exempelvis godkänna Google.com och Google.se.

Du kan kontrollera om du har blivit drabbad genom att logga in på Gmail och titta på dina filter.

Det är intressant att notera att Google inte tar något ansvar för dessa typer av incidenter: “Google disclaims all responsibility and liability for the availability, timeliness, security or reliability of the Service. Google also reserves the right to modify, suspend or discontinue the Service with or without notice at any time and without any liability to you.” [Terms of Use]

Uppdaterat 1: Den här videon beskriver i detalj hur man använder NoScript

Läs mer i DN och IDG.

Uppdaterat 2: Sårbarheten i Gmail täpps till

Andra bloggar om: , , ,

Postat i Google, Säkerhet, Webbtjänster.

13 kommentarer till “Så kan Gmail-användare skydda sin e-post från att bli stulen”

  1. Henrik Säger:
    2007-09-26 kl. 13:42:02

    Och när man installerat NoScript?

    Ska man inte tillåta gmail att köra script då eller?

  2. Webbsnack Säger:
    2007-09-26 kl. 13:49:44

    Jo, Gmail skall ha tillåtelse att köra script. Hotet kommer från andra sidor som injecerar kod i Gmail. Det är alltså dessa sidor som inte skall få köra JavaScript, såvida du inte gett ditt uttryckliga godkännande.

    Du behöver dock inte godkänna Gmail. NoScript har nämligen en lista med alla de domäner och sidor som är godkända. I den listan ligger redan “google.com”. Det innebär att alla sidor på domänen Google.com har tillåtelse att köra JavaScript. Detta inluderar Gmail (mail.google.com).

  3. Henrik Säger:
    2007-09-26 kl. 13:53:49

    Med NoScript kan jag inte längre söka videoklipp på Youtube, trots att jag har sagt till NoScript att tillåta Youtube.

    Vad jag än söker på så står det “No videos found”.

    :o(

  4. bnaut Säger:
    2007-09-26 kl. 13:54:13

    Den här formen av attacker är särskilt otrevliga, skriver Petkov, eftersom den arbetar helt utan att offret behöver göra något och att det är svårt för den vanlige Gmail-användaren att uppfatta att personliga mejl blir stulna. Om inte offret kontrollerar kontots filterinställningar så ser allt fullt normalt ut.

    http://www.idg.se/2.1085/1.122600

  5. bnaut Säger:
    2007-09-26 kl. 13:55:51

    och… tack för en snygg och välskriven blogg!

  6. Webbsnack Säger:
    2007-09-26 kl. 14:06:27

    Henrik: Om du godkänt “youtube.com” i NoScript så borde det inte vara något problem.

  7. Henrik Säger:
    2007-09-26 kl. 14:11:00

    Det hade jag, men det funkade inte ändå.

    Fast nu funkar det. Det var nog något tillfälligt problem på Youtube som inte hade med NoScript att göra.

  8. mickej Säger:
    2007-09-26 kl. 16:36:56

    Detta kan ju bara ske om man låter bli att logga ut och har sagt till webbläsaren att komma ihåg lösenord och att sessionen koms ihåg (att man inte loggas ut när man stänger ner t.ex.).

    Jag som läser min GMail i Thunderbird kan inte råka ut för detta. Men visst är NoScript smidigt om man vill undvika farliga scripts. Jag kör det själv. Men ibland blir det lite jobbigt att blocka och få frågor osv.

    Det bästa när det gäller just detta problem är helt enkelt att alltid logga ut när man läst sin GMail.

  9. Mia Säger:
    2007-09-26 kl. 17:16:43

    Jag har använt NoScript i åratal, helt enkelt för att jag inte tål all förbannad reklam på websidor.

    Det är lätt det allra bästa tillägget till Firefox jag någonsin skaffat.

  10. mickej Säger:
    2007-09-26 kl. 17:26:32

    Mia: AdBlock till Firefox är gjort för att ta bort reklam. Noscript är inget direkt reklam-block-tillägg som AdBlock är. :) Men det tar bort viss reklam också ja eftersom viss reklam är script-baserad, men långt ifrån all.

  11. Mia Säger:
    2007-09-26 kl. 21:10:16

    MickeJ - Oj, tack för att du lär mig sånt som jag omöjligen kan förstå själv.

    Noscript sopar javascript, mycket reklam är java, jag är nöjd med den mängd reklam noscript tar bort. Jag har även använt adblock länge. Jag är medveten om att noscript inte är ett direkt tillägg. Med bara adblock får man inte bort i närheten så mycket som med noscript.

    Räcker det som tydlig förklaring eller måste jag skriva en novell? Jag kan gå och tugga tuggummi samtidigt också.

  12. mickej Säger:
    2007-09-27 kl. 03:18:34

    Mia: Kan du inte vara lite drygare som människa? Du skrev att du använder noscript för att bli av med reklam. AdBlock gör detta jobb bättre. Det är inte alls det noscript är till för.

    Tugga dina tuggummin du. Det passar din 10årig-brat-attityd!

  13. Photoshop user Säger:
    2007-10-08 kl. 11:09:04

    Bra med film så det är lätt att ändra! Tackar

Skriv kommentar

« Google och integritet - fördjupning och lästips

Google identifierar och tar bort piratfilmer på YouTube »