Inizio col botto per GMail
1 Gennaio 2007
Dopo i problemi di sparizione dei dati su alcuni account GMail, eccone uno decisamente più grave: se avete fatto il login alla vostra casella GMail, gli indirizzi e-mail di tutti i vostri contatti rimangono esposti in chiaro durante la navigazione; vi basterà visitare una pagina costruita ad arte e un qualsiasi malintenzionato potrà recuperare questi dati senza troppe complicazioni.
La causa del problema? I dati vengono memorizzati in file JavaScript accessibili in chiaro via browser. Esempio pratico: fate il login nella vostra casella e-mail e visitate questa pagina.
Se, come il sottoscritto, usate estensioni come GMail Notifier, siete praticamente sempre esposti; personalmente ho fatto una rapida prova, usando una delle mie caselle GMail secondarie, e confermo il problema.
Possibili soluzioni:
- disattivare JavaScript per i siti non conosciuti (ad es. con NoScript per Firefox)
- bloccare http://docs.google.com/ con il file hosts (facendolo puntare a 127.0.0.1)
- fare il logout da GMail e non visitare altri siti nel periodo in cui si è autenticati
UPDATE: dopo mezz’ora persa a decodificare il codice JavaScript inserito nella pagina di Googlified (3 codifiche annidate), posso confermare che il codice si limita a scorrere l’array nel file su docs.google.com e scrivere l’indirizzo nella pagina. Gli indirizzi e-mail visualizzati non vengono utilizzati per altri scopi.
UPDATE 2: Google ha già rappezzato il problema. Mi piacerebbe capire come sono intervenuti: il file di test con lo script aperto in locale continua a funzionare mostrando i contatti, se caricato su un server remoto non riesce a visualizzarli 😕
UPDATE 3: Google ha finalmente corretto il problema 😉
4 commenti/trackback a “Inizio col botto per GMail”
Trackback e pingback
- Nessun trackback o pingback disponibile per questo articolo
Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.
4 Gennaio 2007 alle 11:50
Forse dovresti imparare a contare: dopo update 2 c’è update 3… 😛
Stavolta ho fregato pure Miki quanto a pignoleria!!! 🙂
4 Gennaio 2007 alle 12:02
Uff… 😛
4 Gennaio 2007 alle 14:16
@prometeo:
… mi hai fregato perché non avevo ancora letto questo articolo del PT… 😉
4 Gennaio 2007 alle 17:24
Noto con piacere che PT, come Google, ha sistemato il problema… 😛