الأخبار التكنولوجية والاستعراضات والنصائح!
blogs6

فيديو Google يكشف معلومات اسم المستخدم وكلمة المرور الخاصة؟

ستساعدك المقالة التالية: فيديو Google يكشف معلومات اسم المستخدم وكلمة المرور الخاصة؟

قد يكشف فيديو Google اسم المستخدم وكلمات المرور الخاصة بالمستخدمين الذين ينشرون مقاطع فيديو على حسابات MySpace الخاصة بهم ويقدمون هذه المعلومات عبر بروتوكول إنترنت غير آمن، باستخدام عنوان URL http وليس https.

واجه أحد مستخدمي Google ثغرة أمنية بعد مشاهدة مقطع فيديو على Google Video والنقر فوق خيار “البريد الإلكتروني – المدونة – النشر إلى ماي سبيس”.

على سبيل المثال، انتقل إلى فيديو Google هذا للسيد الياباني في لعبة Tetris وهو يلعب في بطولة Tetris لعام 2001.

ثم انقر فوق “البريد الإلكتروني – المدونة – النشر على ماي سبيس”

سيتم بعد ذلك تقديم هذا النموذج غير الآمن الذي يطلب منك معلومات تسجيل الدخول الخاصة:

نشر المستخدم تجربته مع هذا على منتديات ديجيتال بوينت:

لذلك، بعد النقر، استقبلتني النافذة المنبثقة التالية http://video.google.co.uk/blogpost?d…22&siteindex=3 ولاحظت على الفور أن عنوان URL الخاص بها كان http، وليس https. نموذج غير آمن… لذلك اعتقدت أنه لا بد من نشر تفاصيل تسجيل الدخول إلى عنوان URL https، لذلك قمت بسحب الترويسات المباشرة وهذا ما حصلت عليه:

http://video.google.co.uk/blogpost

نشر /blogpost HTTP/1.1
المضيف: video.google.co.uk
وكيل المستخدم: Mozilla/5.0 (Windows; ش؛ Windows إن تي 5.1؛ أون-الولايات المتحدة; rv:1.8.1.3) أبو بريص/20070309 فايرفوكس/2.0.0.3
قبول: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
لغة القبول: en-us,en;q=0.5
قبول الترميز: gzip، انكماش
قبول-مجموعة الأحرف: ISO-8859-1,utf-8;q=0.7,*;q=0.7
البقاء على قيد الحياة: 300
الاتصال: البقاء على قيد الحياة
نوع المحتوى: application/x-www-form-urlencoded
المرجع: http://video.google.co.uk/blogpost?d…22&siteindex=3
طول المحتوى: 42
ملف تعريف الارتباط: PREF=ID=26c938172fc51030:TM=1178041215:LM=1138046118:S=Bw_pBCzx-opEyR3s; sloc=en_GB
براغما: لا يوجد ذاكرة تخزين مؤقت
التحكم في ذاكرة التخزين المؤقت: لا يوجد ذاكرة تخزين مؤقت
req=تسجيل الدخول&الاسم=اسمي& تمرير =com.mypassword&site=ماي سبيس

باختصار، وفقًا لهذا المستخدم، تقوم Google بتمرير معلومات خاصة تتضمن تفاصيل تسجيل الدخول إلى MySpace وLiveJournal وBlogger وTypePad عبر قنوات غير آمنة. وبما أن حسابات Blogger تستخدم أحيانًا حسابات Google لتسجيل الدخول، فقد يؤدي هذا الخلل إلى كشف معلومات GMail وGoogle AdWords وGoogle AdSense الخاصة بالمستخدم، وربما حتى معلومات Google Checkout (ما لم تكن هذه المعلومات مشفرة).

نحن نوصيك: