Gmail SSL

Há uns tempos atrás escrevi um post sobre como melhorar a segurança do Gmail forçando o modo SSL no URL. Esta prática tem algum efeito pois por omissão o Gmail usa apenas SSL no login, descartando-o depois. Ou seja, as cookies passam a viajar na rede sem qualquer tipo de protecção. Usando antes o endereço “https://mail.google.com” irá alterar este comportamento.

Acontece que esta medida não é 100% confiável devido ao próprio funcionamento do Javascript no Gmail. Mesmo que tenha sido colocado o https no URL, se por algum motivo a ligação https não puder ser estabelecida, o Javascript descarta-se da ligação SSL e tenta ligar por http normal, ficando assim para o resto da sessão. Isto vai causar comportamentos indesejados em situações específicas, como por exemplo: no caso em que ligamos o portátil num hotspot público, abrimos o browser no Gmail ainda a ligação está a ser estabelecida, o https vai falhar porque não temos ligação e o Gmail passa automaticamente para http, permanecendo nesse modo. Se estiver alguém a capturar os dados da rede, game-over. Ou ainda outro cenário, em que se está a usar o Gmail, a rede cai, este não acede por https, faz fallback para o modo http e quando a rede voltar já estamos a enviar dados em claro.

Apesar de já ser um ganho significativo em relação a outros serviços online que não têm sequer modo SSL, o modo como o do Gmail está implementado pode em algumas situações ser inútil, sendo vulnerável a sidejacking tal como os outros.

This entry was posted on July 16th, 2008 and is filed under Security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response or Trackback from your own site.