Gmail有充分理由启用SSL加密会话

拉斯维加斯举行的Defcon黑客大会上展示了一种工具，能自动窃取Google Mail非加密会话ID，并进而攻占邮箱。来自旧金山的逆向工程师Mike Perry开发了这一工具，并计划在两周内发布，他表示没有选择SSL的用户现在需要认真对待。

当用户登录Gmail 时，网站会向浏览器发送包含ID的cookie文件，它将保留两周时间，除非你选择退出。问题在于：每次你访问Gmail，即使是上面的一幅图像，浏览器都会向网站发送cookie文件，这就是使得攻击者能够嗅探通话，通过植入mail.google.com上的图像诱使浏览器发送 cookie，从而获得你的ID。当这一切发生之后，攻击者无需密码就可登录邮箱。Google在上个礼拜介绍了Gmail的新特性，允许用户永久选择 SSL，除验证之外，它将加密Gmail内的所有操作。但Perry抱怨Google不透明，“Google没有解释为什么这项功能是如此重要”。