Miért kell félni a XSS támadástól? (most Gmail.com)

Azért, mert csúnya dolgokat lehet művelni ezzel a támadási típussal. Pont most olvasom egy jóember blogját (illetve azt ami megmaradt belőle), hogy hogyan lopták el a domain-jét ezzel a módszerrel. Elég sokkoló.

Röviden a támadás lényegéről:

  1. A felhasználó belép a gmail-be.
  2. Meglátogatja a támadó oldalát.
  3. A támadó weboldala arra utasítja a böngészőt, hogy a felhasználó nevében kérést küldjön a gmail-nek.
  4. Beállíthat tetszőleges szűrőt, így tetszőleges helyre továbbítva a leveleket, gyakorlatilag ellopva(!) őket.

Remélem elszörnyülködtetek.

Mit rontott el a google? mit tehet a google?

Az gonosz oldal irányításával kiküldött kérés felismerhető, de a google nem ellenőrizte le a kérés "eredetiségét".

A google végre javította, a több helyen (nem csak gmail) előforduló hibát.

Védekezés?

Az eredeti hibaleírás erről is tesz említést. Noscript extension használata megvéd nem csak ettől hanem sok hasonló XSS támadástól. Használata nem triviális. Tudjuk, hogy a biztonság csökkenti a használhatóságot. Én a megbízható oldalakon "kézzel" szoktam engedélyezni a scrip-ek futását ez tényleg nem túl kényelmes, de mit csináljak?