Säkrare Gmail-sessioner

Publicerat: 10 november 2008 i Säkerhet

gmail-lock

Jag använder själv sällan Googles Gmail, även om jag har ett par konto för tester, men mååånga av mina vänner och kollegor använder det.

Här kommer ett tips på hur man säkrar upp sina sessioner när man kollar mail.

Om man går till http://mail.google.com så redirectas man till en krypterad sida (https) för inloggning. Men när man väl har loggat in blir sessionen återigen klartext (http):

gmail-http

Även om inloggningen – och därmed ditt lösenord – är skyddat, så går nu all trafik i klartext, dvs allt du läser eller skickar kan läsas av alla som sniffar nätet. Att sniffa nättrafik (trådlöst eller kabel) är idag trivialt. Kabel kräver bara att du sitter på samma subnät (även om man kör switchat), för trådlöst räcker WLAN-täckning.

Problemet är inte bara att andra kan läsa vad du gör. Eftersom Gmail använder en Cookie för att bekräfta att du är inloggad, och denna Cookie skickas okrypterat, kan elakingarna sno Cookien, själva gå till Gmail och (utan att ange ett lösenord) komma rakt in i din inkorg. Vad man gör efter det begränsas bara av fantasin. Att beställa en reset av lösenord till en webbsite du har ett konto på och snappa upp mailet och radera det innan du ser det är bara ett exempel.

Det finns två sätt att lösa detta på. Det första och enklaste är att gå till adressen https://mail.google.com, då förblir sessionen krypterad även efter inloggning.

Det andra sättet är nästan lika enkelt, men behöver bara göras en gång per Gmail-konto:

  1. Logga in på Gmail
  2. Klicka på Inställningar
  3. Längst ned på sidan finns Webbläsaranslutning
  4. Klicka i Använd alltid https
  5. Spara ändringar.

Nu kommer dina framtida sessioner alltid vara krypterade, inte bara inloggningen:

gmail-https

Jag förstår inte varför Google inte har detta påslaget som standard. Alternativet att alltid kryptera sin session tillkom dessutom först för någon månad sen.

Google officiella anledning är att personer med låg bandbredd kan uppleva SSL-sessioner segare. Kan inte de då erbjudas möjligheten att slå av SSL, med info om vad det innebär?

Den riktiga anledningen tror jag ligger mer åt att många samtidiga SSL-anslutningar (som https använder sig av) kräver mer CPU-resurser av servern än vad http gör. Försämrad säkerhet, oavsett om det är för att vara snäll mot slöbandsanvändare eller om det är hårdvarusnålhet, tycker jag att man behöver vara tydligare med att informera om mot sina kunder.

Google kan inte längre skylla på att det är en Beta, med tanke på att Gmail lanserades för över 4,5 år sedan! Borde kanske ta bort Beta ut loggan snart…

Annonser
kommentarer
  1. Freddan skriver:

    Tack för tipset!

  2. Tom Aafloen skriver:

    No problem. Kul att du kollade in min itblogg.
    Wishbone-lunch nån dag? 🙂

  3. […] exakt 2 år sedan, den 10 november 2008, skrev jag ett inlägg med rubriken Säkrare Gmail-sessioner. Där skrev jag om att Gmail (som då fortfarande var i beta) hade fått en inställning som gjorde […]

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s