Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties
Bron: The Inquirer, submitter: iyanic

Gmail logo frontpage Naar nu blijkt bevatte Gmail een bug die hackers ertoe in staat gesteld zou hebben om iemands mailaccount over te nemen en op die manier bijvoorbeeld spam te versturen. Het lek is inmiddels allang weer gedicht: de zoekmachine heeft de fout in de code op 18 oktober hersteld. Anelkaos, forummedewerker van elhacker.net, meldde zich met de bug bij Google waarna de zoekmachine vier dagen nodig had om zijn code te debuggen. Hoe gevaarlijk het lek was, blijkt uit de publicatie erover op de genoemde website. Lezers worden bij de hand genomen om zo stap-voor-stap een procedure te doorlopen over hoe de bug uitgebuit had kunnen worden. Kort samengevat komt het erop neer dat er door het starten van twee Gmail-sessies, sessievariabelen uitgelezen konden worden, waarna door het in de url plakken van die variabelen het account van een ander geopenend kon worden. Als we de uitleg op de website mogen geloven, stond Gmail wijd open. Of er hackers zijn die de bug geëxploiteerd hebben, is onbekend.

Moderatie-faq Wijzig weergave

Reacties (54)

Het is mij ook eens gelukt om in mijn Gmail-account te komen door de history te openen, terwijl ik al uitgelogd was.. Ik werd er nota bene op gewezen door mijn vader - een van de grootste noobs op PC-gebied die ik ken :o
Dat is ook niet zo raar, slaat gmail je wachtwoord niet op in je cookies? Dan kan je inderdaad zo inloggen zonder je opnieuw aan te melden. Dit noem ik niet echt een bug.. ;)
ik denk dat hij bedoelt dat hij dus zn cookies gecleared had en DAN in zn history er op kwam.
hij schijnt dus al uitgelogged te zijn :Y)

Niet zo handig..

Maar ja dat heb je met de Beta versie...
Nee, GMail maakt geen gebruik van wachtwoorden in cookies. Bijna iedereen werkt met sessievariabelen - je meldt je 1 keer aan met je username/password, en krijgt een sessie code terug van GMail. Met behulp van deze sessiecode kan GMail dan zelf weer bepalen wat je username/password is, zodat je niet telkens je password over een insecure lijn hoeft te sturen.

Welnu, nu zou je haast zeggen dat GMail intern de sessie schoonveegt als je uitlogt - maar blijkbaar, zoals ik van de parent mag geloven, verwijderen ze alleen je sessie cookie van je pc, maar vegen ze niet intern hun sessie niet schoon. Dan kan je idd mbv je history gewoon weer inloggen...
Ik heb twee accounts. Toen ik de ene had uitgelogd en in de andere instellingen wilde aanpassen, kreeg ik het account van de andere. Ze kunnen maar beter heel die authorizatiecode eens flink goed doornemen. Cookies moeten maar eens worden afgeschaft vind ik :)
ja, lijkt me slim en dan in alle urls lelijke sessie id's meegeven, dan kan je helemaal makkelijk hacken op basis van history files....
Wel de POST methode gebruiken natuurlijk. Die parameters worden naar mijn weten dan alleen bewaard als je de pagina expliciet opslaat. Ook in te stellen met wat HTTP headers natuurlijk.
Ik kan ook echt af dat ze al mijn kleffe e-mails met mijn vriending hebben kunnen afluisteren.... :+

Maar history staat meestal in de cache... dus die moet je sowieso leeghalen op een gesharede compu...:
Ik kan op zoveel openbare computers (zelfs zonder internetconnectie) de pornopagina's bekeken door de vorige bezoekers ophalen...
is dit niet een een kinderziekte ( redelijk normaal, want gmail staat nog steeds in beta faze ). Zou het niet zijn dat hotmail ook veel problemen heeft gehad
Waarom denk je dat Google veel in beta laat?

Kunnen altijd terugvallen door te zeggen dat het een beta is. Gmail lek? "Tja, het is een beta he? Dan mag dat". Dubieuze privacy statement? "Tja, beta dus het moet nog officieel worden".

Ik kan me herinneren dat veel mensen over de zeik gingen toen de MS AntiSpyware nog beta was en alle startpagina's met de termen 'start' (oid) erin als spyware/adware/gevaarlijk aangaf. Toen waren de rapen gaar...
Maarja, google... G-mail is goed!!
Volgens mij zelfs van dezelfde strekking, met 1 geopende&ingelogde hotmail account hoefde je maar iets in de url aan te passen, knipen en te plakken, en je wandelde zo andermans account binnen
Mischien is het een feature dat ze nodig hebben omdat ze met hun zoekmachine toegang moeten hebben tot de info in je mail account.
Je hebt kinderziektes en kinderziektes
Je stelling gaat richting: kanker bij iemand jonger dan 12 jaar is een kinderziekte.
hete leuke van het woordje beta is dat ze er niet op gepakt, geclaimd of op hun vingers getikt kunnen worden
ik gebruik ook gmail, gratis POP :-)
(en natuurlijk altijd je mails online beschikbaar, maar das bij hotmail ook zo)(en hotmail kun je volgens mij ook 2 gig krijgen met een eenofandere tweak)
ik verstuur ook geen vertrouwlijke mails ofzo dus het maakt me erg weinig tot helemaal niets uit.
Het gaat dan ook niet om het lezen van jouw mail... het probleem is meer dat er spam verstuurd zou kunnen worden met jouw adres, en dan mag je 3x raden wie daar in de eerste instantie de schuld van krijgt...
Als je een mailbox wilt hebben alleen voor de gratis POP, kan je net zo goed die van je provider gebruiken..
Ik gebruik google omdat het gewoon super handig is, 2,5GB inbox (waarvan ik al meer dan de helft heb gebruikt), handige search functie, nooit een mail weggooien enzovoort enzovoort...

Elk programma heeft wel is een "ernstige" bug gehad, belangrijker is dat die snel worden gefixt.. toch? :D
Volledig mee eens:
Ook al laten we het volgende buiten beschouwing:
* Frequentie bugs
* Snelheid met oplossen
* Etiketje 'beta'
Wanneer het MS betreft, dan valt het toch op dat veelal negatief gereageerd wordt. Komt iets anders slecht in het licht, dan is men meestal nog mild (ik vind de tweakers hier zelfs nog mild omtrent de Sony Rootkit). Dat vind ik namelijk toch wel raar. Zorg dan wel dat je in alle redelijkheid, naar verhouding tot risico uitbarts en niet alleen naar de naam van het bedrijf kijkt.

@@TOPIC: verder vind ik deze bug redelijk schandalig, je kunt namelijk veel bugs 'produceren', maar dit vind ik een schandelijke bug (meer fout by-design dan bug misschien). Op de server controleer je normaal de sessie, komt deze info niet overeen met url --> access denied. Ik denk dat o.a. een grote druk van Google hier voor verantwoordelijk is (ps: bij alle ontwikkelingen is in feite tijdnood, maar Google duwt de laatste tijd wel erg op het gas).
Niet alle providers leveren email.
De mijne niet bijvoorbeeld (SurfNET Glasvezelproject Nijmegen) Bovendien hebben ze poort 25 naar beide kanten dichtgegooid zodat ik ook geen eigen mailserver op kan zetten. (welke idioot gooit nu poort 25 naar binnen dicht :( ... Naar buiten kan ik nog voorstellen vanwege spam mogelijkheden... maar ja...) Resultaat: Ik 'leef' van webmail. Ik heb zowel een Hotmail en GMail account maar ik vind GMail wel 1000 keer fijner ... Betere advertising, overzichtelijkere inbox e.d. pagina, betere browsercompatibiliteit (de helft van Hotmail werkt nog steeds niet in Firefox. Vooral het downloaden van attachments is een ramp) Geen doorverwijzing naar MSN (kriebel) als ik op logout druk.... en ik kan nog wel even door gaan.
Wat betrteft de laatste regel, Mr.Mmore. Daar sluit ik mij helemaal bij aan. Ik programmeer zelf, beroepsmatig en weet hoe moeilijk het is foutloos te schrijven. Zeker als je met meerdere mensen aan hetzelfde project werkt (en ondanks alle mooie tools die je dan kan gebruiken zoals CVS of SVN en fatsoenlijke documentatie)
Hmm.. er word gesproken in het artikel over een bug.
Sja.. als je het mij vraagt was dit meer een soort critical design flaw. Als je de bron hebt gelezen, stond ergens onderaan dat nog een paar soortgelijke mannieren waren om toegang te krijgen tot het slachtoffer's inbox.
In mijn persoonlijke opvatting, is er een aanzienlijk verschil tussen bug en design flaw, en had google dit toch echt moeten weten te voorkomen. Niet echt zo snugger dus van ze.. beta of geen beta. Of... ben ik nu soms te kritisch?
...Hmm..
Het kan net zo goed een bug zijn als een design flaw.

als ze helemaal vergeten om het id in de cache te controleren met de url, is het een design flaw.

Het is een bug bij als ze bijvoorbeeld een typo maken.

If ($cache = $url) ipv
If ($cache == $url)

Dus om nou meteen te zeggen dat Google het compleet verkeerde gemaakt heeft, wie zal het zeggen, maar loop niet te hard van stapel.
Zo te horen is dit dus wel een erg grote en slordige bug, apart dat ze er nu pas achter komen..
Google's standpunt was altijd hoe basic hoe beter. Bij eerste gebruik van Gmail viel ook meteen al op dat het wel héél basic was. Itt hotmail heeft gmail een veel doorzichtigere page-render en het aanlokkelijke om het een en ander te gaan onderzoeken was dan ook groot. Bij hotmail wordt je al gauw afgeleid door de reclame en moeizame en langzame rendering van de pagina's.
Gmail-accounts tot vorige maand toegankelijk voor hackers

Jammer dat hackers zich niet meer mogen aanmelden voor Gmail :+
Hmm.

Als dit met hotmail gebeurd was, dan zaten meteen alle tweakers erop.

Maarja, google... G-mail is goed!!

ontopic: volgens tweakers is alles te kraken, dus je mag het niet echt als een nadeel zien denk ik.

welke m******l mod dit weg? zo missen veel mensen een interessante thread.
Hmm.
Als dit met hotmail gebeurd was, dan zaten meteen alle tweakers erop.
Maarja, google... G-mail is goed!!
Vanuit een beheerdersoogpunt is Hotmail velen malen prettiger dan Gmail, al is het maar omdat gmail nog steeds geen ip's meegeeft van de verstuurder van een bericht :/

Sowieso vind ik google steeds enger worden in hun bemoeienis met zo'n beetje elk aspect van het web c.q. internet.
Ik niet !

Ik gebruik het gewoon niet, alleen om te zoeken.

Ik heb geen G-mail account, ik hoef/moet er geen, en ik leef nog steeds.

Ik betaal liever een eigen .nl adres, want ik geloof eignelijk niet in "gratis". de reden is dat diensten die ik afneem, altijd wat kosten, waar dan ook.

Ik heb al snel het idee dat ik op een andere manier betaal; b.v. mijn privacy.
lichtelijk oftopic, maar wat denk jij dan van open-source software?

hier zit namelijk een tegenstrijdigheid in. Het is gratis(meestal dan), maar doordat de broncode beschikbaar is kan het gecontroleerd worden op privacy schendende code.


ontoppic:
Gelukkig dat ze de lek weer hebben gedicht, denk niet dat de hackers in mijn gmail hebben lopen spitten
Open Source Software is gratis, maar tóch wordt ervoor betaald. Alleen de valuta waarin betaald wordt, is van een bijzondere aard: hoeveel je er ook van uitdeelt, je bent nooit blut.

Het heet waardering en naamsbekendheid. Mensen ontvangen naamsbekendheid en waardering voor hun bijdrage aan Open Source Software. En hoewel de makers er in dat opzicht soms goed aan verdienen, beperkt het de gebruiker niet in zijn mogelijkheden om andere producten te "kopen".

Diensten zoals GMail, Hotmail, e.d. ontvangen betaling in een dezelfde valuta: reclame (hun naamsbekendheid geven ze door aan anderen). Maar omdat dat niet genoeg is, wordt ook een betaling in een tweede valuta verlangd: privacy.

In tegenstelling tot waardering en naamsbekendheid kan je van het uitdelen van privacy-eenheden wél blut raken. Als je alles uitdeelt, ben je blut en hou je geen privacy meer over. Iedereen weet dan alles van je.

Het nadeel hiervan is tweeledig. Directe nadelen zijn spam en andere reclames, ook bv. telefonisch. Indirecte nadelen zijn gevaarlijker. Er komt bijvoorbeeld een nieuwe minister van BiZa en die vindt dat alle moslims een gele M op hun ID-kaart moeten hebben. In dat geval wil je niet dat men jouw grappig bedoelde incrowd-mailtjes naar je vrienden kan lezen, want hoewel je er niets serieus mee bedoelde, staan er misschien wel dingen in die een outsider als gevaarlijk zou kunnen bestempelen omdat hij jou niet kent.

Het gevaar is dichterbij dan je misschien denkt. Privacy is een hoge prijs voor een gratis dienst, en alleen omdat er geen ¤ of $ voor staat, betekent niet dat het goedkoper is dan een ander product waar dat wél voor staat.
want ik geloof eignelijk niet in "gratis". de reden is dat diensten die ik afneem, altijd wat kosten, waar dan ook
Weleens een vriendin gehad? :+
Als jij denkt dat je vriendin gratis is, moet je nog veel leren!
En dan heb ik het niet over materiele zaken als kosten voor uitgaan en cadeautjes.
Als ergens geldt, dat het beter is om te geven dan om te nemen, dan is dat wel in de liefde. Hoe meer je geeft, aandacht, warmte, toewijding etc, hoe meer je in principe kan terugkrijgen. Als je niet emotioneel in een relatie investeert, is het niks waard.
Ik vind Hotmail :( baggerste mailbox op deze moment er zit

- veel spam :(
- je kan berichten niet selecteren als gelezen :(
- geen pop/imap :(
- reclame :(
- het is van microsoft :(
homail beta (mail Live) is nog erger het werk niet met Firefox
-veel spam
=> Valt bij mij wel mee; 5 spammails per week en die belanden in mijn junkmail. Heb email van hotmail sinds 1998.
- je kan berichten niet selecteren als gelezen
=> open ze dan even?
- geen pop/imap
=> MrPostman, YahooPop, Popper, ...
- reclame
=> Niets is gratis, en dit wordt al neit meer storend ervaren, ofwel?
- het is van microsoft
=> En die brachten ons ook Microsoft Windows, waarvoor dank.
Hm, beetje rare argumenten.

- Veel spam? Dan laat jij dus je email adres overal slingeren, ik heb gek genoeg meer spam op mijn gmail als hotmail omdat ik mijn gmail overal uitgeef.

- Zie volgende punt

- Ik haal mijn hotmail op met Outlook, hoezo geen POP? doe ik ook met Gmail trouwens.

- Zie boven, geld idem voor Gmail trouwens die ook reclame heeft EN (weliswaar geautomiseerd) mijn email doorzoekt. Daar laat ik dus geen persoonlijke of zakelijke mail naar toe sturen.

- Het is van Microsoft...who cares?

De beta werkt niet met FF...wow...als het nu geen beta meer was dan had ik je gelijk gegeven, nu is het een huillie verhaal.
@^Tijger^:

Dat jij je Hotmail met Outlook kan ophalen wil niet zeggen dat je het via POP doet. Hotmail ondersteunt geen POP, maar heeft een IMAP-kloon-achtig iets in Outlook ingebakken. Als het echt POP was kon je je Hotmail ook direct met een andere mailapp zoals Thunderbird, of Mail for Mac OSX, of Eudora ophalen.
@^tijger^:
Hotmail is (was) samen met yahoomail de grootste provide voor (gratis) webmail (met beiden 30%+ marktaandeel). Dus Hotmail is lange tijd heel interessant geweest voor spammers. Google heeft, in tegenstelling tot MS, veel moeite gedaan om een sterke spamfilter te creeeren. de vraag is dus wat je spam noemt.
Ik kreeg op mijn hotmail veel meer mails (60+/week) van sites en bedrijven die ik nog nooit heb gezien/gehoord. terwijl ik op gmail wel degelijk spam ontvang, maar vaker is dat afkomstig van sites waar ik (moedwillig) mijn adres heb achtergelaten.

Als je denkt dat alleen google je mail doorzoekt ben je gewoon naief. MS doet het met grote zekerheid ook, maar is gewoon niet zo "eerlijk" om het vooraf te vermelden. Bovendien zijn de reclames van hotmail veel indringender als de 1-5 AdWords die ik bij gmail krijg (al is dat natuurlijk afhankelijk van de persoon).

verder boeit het mij geen flikker wie een mailsysteem ontwikkeld/onderhoud. Ik vind het gebruikersgemak een stuk belangrijker. van wat ik heb gezien doet Mail Live van MS veel verbeteren over Hotmail, maar is het wederom afhankelijk van de persoon of je liever Hotmail of Gmail hebt.

(S)POP3 ondersteuning van google vind ik wel erg bikkel, er zijn niet veel bedrijven die dat in die vorm aanbieden. mijn verwachting is dan ook dat pop3 een betaalde dienst wordt zodra gmail gold gaat.
Bij Microsoft duurt het helaas langer dan vier dagen om een bug te fixen. Als je een beetje google't (toepasselijk :)) kan je zo een aantal bekende cros-site-scripting bugs in hotmail/msn vinden.
Ik merk dat Gmail altijd (bijna) zijn bugs vrijgeeft na het fixen.
Dit is zeer goed voor het vertrouwen in Google.
Ik ben er zeker van dat ook dit soort bugs bestaan in Hotmail, maar ik denk niet dat M$ die zo rap gaat vrijgeven.
Google heeft hier zelf geen woord over gezegd. De hacker schrijft zelf:
Google hasn't declared definitively this topic, and they seem not to have intention to publish the bug.
.
Hmm, dat dit er de reden van zijn dat iemand mijn account heeft overgenomen?

Ik was eerder al mijn hotmail- account kwijtgeraakt, diegene die hem gekraakt had ging ermee stangen, ik sprak hem aan op MSN met mijn nieuwe (gmail)- account en een dag later zie ik zo voor mijn neus dat ik niet meer in kan loggen. Wachtwoord was veranderd en even later werd ik van MSN geknikkerd :?

Zou ik toevallig slachtoffer zijn geworden van deze bug? Het wachtwoord op mijn gmail- account was nergens anders en nooit eerder gebruikt (10 tekens, 1 hoofdletter en 1 cijfer en het is geen bestaand woord). En zo ja, kan ik op de één of andere manier mijn account terugkrijgen en het liefst zou ik willen weten wie dit op zijn geweten heeft ;(.
Kom je wel een beetje laat mee. Ik had meteen contact met Google gezocht om dit probleem op te lossen. Gezien de fout in de Googlecode had je waarschijnlijk je account wel teruggekregen. Je kunt natuurlijk nog steeds proberen je account terug te halen maar dan ben je hier toch echt aan het verkeerde adres :).

De vraag is natuurlijk of je nog een account terugwilt waarmee allerlei rare dingen uitgehaald kunnen zijn...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True