open core »

Gmail SSL

Há uns tempos atrás escrevi um post sobre como melhorar a segurança do Gmail forçando o modo SSL no URL. Esta prática tem algum efeito pois por omissão o Gmail usa apenas SSL no login, descartando-o depois. Ou seja, as cookies passam a viajar na rede sem qualquer tipo de protecção. Usando antes o endereço "https://mail.google.com" irá alterar este comportamento.

Acontece que esta medida não é 100% confiável devido ao próprio funcionamento do Javascript no Gmail. Mesmo que tenha sido colocado o https no URL, se por algum motivo a ligação https não puder ser estabelecida, o Javascript descarta-se da ligação SSL e tenta ligar por http normal, ficando assim para o resto da sessão. Isto vai causar comportamentos indesejados em situações específicas, como por exemplo: no caso em que ligamos o portátil num hotspot público, abrimos o browser no Gmail ainda a ligação está a ser estabelecida, o https vai falhar porque não temos ligação e o Gmail passa automaticamente para http, permanecendo nesse modo. Se estiver alguém a capturar os dados da rede, game-over. Ou ainda outro cenário, em que se está a usar o Gmail, a rede cai, este não acede por https, faz fallback para o modo http e quando a rede voltar já estamos a enviar dados em claro.

Apesar de já ser um ganho significativo em relação a outros serviços online que não têm sequer modo SSL, o modo como o do Gmail está implementado pode em algumas situações ser inútil, sendo vulnerável a sidejacking tal como os outros.