Gmail 垃圾邮件过滤器出现安全问题

来源：GSeeker 作者：GSeeker 出处：巧巧读书 2007-12-30 进入讨论组

Gmail是优秀的，甚至从垃圾邮件过滤能力及功能上看，它可能是最优秀的，但它并不是完美的。这听起来像是废话，但事实上，Gmail之所以不完美，最主要的原因是它依然存在着不少安全漏洞。除去用户密码保护环节薄弱及取回密码步骤繁琐不说，Gmail一直以来都被发现有XSS安全漏洞。

简单地说，当你不小心防问了某些网页后，你的Gmail设置可能会被修改了，而你一无所知。不相信？英国著名的图像设计师David Airey就是因为Gmail的这种漏洞而在本月失去了他的域名。

David Airey是小有名气的设计师，他的很多业务是直接来自他的个人网站davidairey.com的。正因为如此，黑客想劫持他的域名，再高价卖回给他。那黑客是怎样做到的呢？答案是利用Gmail的XSS漏洞（注：Google官方暂时还没有出来证实这一点，但目前有大量的第三方证据），更改了Gmail的过滤器设置，将与域名转移有关的邮件偷偷地转到了自己的邮箱里，然后在David Airey发觉之前，完成了域名的转移。

之后，黑客更主动发邮件给David Airey，开价让他卖回自己的域名。而David Airey很气愤，决定不给黑客一分钱（其实黑客最高只开价650美元，其后更主动降价至250美元），欲通过法律手段解决。并且，他把整个事件的详细经过写上了他新开的网站Davidairey.co.uk上，以提醒所有Gmail用户。详细的过程可见此。

这的确是一件很令人同情的事件，尽管可能由于圣诞假期的缘故，Google还没有官方人员作出回应，但目前已有大量的第三方证据表示，这和Gmail存在的XSS安全漏洞有直接关系。要知道Gmail帐户是极其重要的，因为它几乎是整个Google产品体系的入口，一旦被黑，你的邮件、文档、图片、个人资料等等敏感信息全都会被他人获取。类似这样的事件已发生了多次，尽管每次的原因都尽相同。

我们可以从这次事件中得到怎样的警示呢？答案是马上检查你的Gmail设置里的过滤器列表，看看有没有多了一些额外的过滤器。在上述事件中，黑客之所以能得到David Airey的邮件，就是利用漏洞，在Gmail里设置了一个过滤器，将目标邮件转移了。当然，利用漏洞，黑客可以做更多的事，但这种更改过滤器的手段，却是最不容易令人察觉的，因为一般情况下，用户都不会天天去检查自己的过滤器列表。此外，当然就是不要轻易访问陌生的网页，以防中招。但一旦Gmail真的有这种漏洞，那么用户也只会防不胜防，无能为力了。

通告:http://www.qqread.com/net-saft/t389839.html