GetSetによる
2005年01月13日 21時50分の掲載
結局まだβな訳だし部門より。
結局まだβな訳だし部門より。
78K曰く、"CNET Japan の記事によると、Gmail に他人のメールを閲覧できてしまうバグが存在していた模様。現在ではこのバグは修正されているが、どれくらいの期間このバグが存在していたかは不明だという。発見したのは HBX Networks UNIX Community Group のメンバーの二人で、送信元アドレスの最後に > を付け忘れたことでこの問題が発覚したらしい。より詳しくは発見者のレポートを参照して頂きたい。
Gmail の招待権を知り合いにばら撒くのも考えもの…??"
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
部門名が全てかなあ (スコア:2, 興味深い)
提供されている段階だが、Gmailに依存しているユーザーも多い。」
と書いてあることが、事実だとしたらかなり驚きです。
Re:部門名が全てかなあ (スコア:2, おもしろおかしい)
例えば、個人情報が流出したとしても、
「さすがだ。そんなことまでぐぐれるのか」と感心されそうだし。
--
「なんとかインチキできんのか?」
親コメント
修正された模様 (スコア:2, 参考になる)
なお、こうしたセキュリティ問題は security@google.com へ送ってほしいそうです。
ここに署名はいません
もしかして・・・ (スコア:2, おもしろおかしい)
# 古い穴にドキドキ・・・
もはや定番 (スコア:1)
他のWeb mailサービスにも大体同じような欠陥があったそうですが、「セキュリティが気になるならWeb mailは使うな」でFAなんでしょうか?
Re:もはや定番 (スコア:2, 参考になる)
Webメール一般の話をすると、そもそものサービスのベースとなるWebサービスの部分でPHPなどで脆弱性がポツポツ発見されたりしてますから、今回のGMailのようなコーディングの単純ミスの部類に入るものがなくても結局安心できないというのがホントのとこではないでしょうか。
でも普通(POP3/SMTP)のメールサービスも、暗号化されてないと信頼性が低いわけで、PGPとかSSLとか使わないといかんですよね。
普通のメールでも実はWebで閲覧できるようになってますみたいなサービスもあるし全くもって油断できない世の中です。
また、メーラーのバグも多々あるわけで、メジャーマイナー問わず、危険は常にあるわけです。Windowsだと、Outlook系は論外としても、Becky!に鶴亀メールにShurikenに後なんかあったっけか、割と致命的なバグは沢山でてますから、結局セキュリティが気になる人はOSもソフトもサービス提供元も厳選しないといかんてのがFAぽいですね。
親コメント
修正 (スコア:2, 参考になる)
高木浩光@自宅の日記 2004年10月30日 [takagi-hiromitsu.jp]
高木浩光@自宅の日記 2004年11月27日 [takagi-hiromitsu.jp]
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
親コメント
添付ファイルも読まれる可能性があったのかな (スコア:1)
ふと思ったのだけど、これって添付されていたファイルまで横流し状態になったりするのでしょうか。Gmail は容量が売りなので、なんかいろいろやりとりしている人が多そうなんですけど。
メール本体に書けるのは基本的にテキストだけなんで、被害があったとしたら個人情報がらみだと思いますが、添付ファイルが読まれちゃったらいろいろ困る事例がありえそうです。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:悪用 (スコア:1)
もれなく、よそさまのメールがのぞけます。
やり方はタレコミにある通りレポートを参照。
親コメント
Re:英語は苦手です。 (スコア:2, 参考になる)
親コメント
Re:英語は苦手です。 (スコア:3, 参考になる)
gmail アカウントに送って見てみたら、ちゃんと届いているみたい。
しかし「オプション」リンクをクリックしてみると「Reply To」が
HTML になっていた! よく見てみると他人の HTML メールのようだ。
「原文を見る」リンクでメッセージのソースを見てみると問題ない。
そこでスクリプト出力を見てみると From の最後の ">" が欠けていた。
推測だが、gmail 側で From アドレスの終端を探すルーチンが
">" に依存しているのではないか。
ただ From: <hoge@hoge として送るだけでこんなことになってしまう。
ベータだということを忘れてはならない。
てな感じかなぁ。
ここに署名はいません
親コメント
Re:招待権 (スコア:2, 興味深い)
むしろ、招待制というのは、Gmail に対する話題性や価値を高めるためのスパイスではないかと。簡単には入手できないものなので、Gmail アドレスを持っていることがステータスになるというわけで。
# qmail だったら、拡張アドレスという仕掛けで自分のアドレスをいくらでも追加できるので、
# これを利用して Gmail のアドレスも自由に増殖させることは技術的には可能です。規約違反かどうかは未確認:-)
NHK 受信料はテレビの台数分契約にしてほしい
親コメント
Re:招待権 (スコア:2, 参考になる)
たしか、Gmail の場合は自分のアカウントの前に "文字列+" をつけて見た目のアカウントを増やせましたね。たとえばこんな感じ:
hoge+someone@gmail.com
捨てアカとか Gmail アカウントそのものの増殖とかとは別の話ですけど。
どっちかというと、mailto:someone@gmail.com?subject=hoge の代わりに使ってちょうだいというニュアンスなのかも。
ただし、+ の文字に対応していない環境があるとかないとかで、Google も「いちおう使えるようにしておいたけど、期待に添えないことがあるかもね」とかいう説明をどこかに書いていた記憶があります。
# Web メールなんてのは定期的にセキュ穴が見つかるもんだと思っておいた方がよさげ
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
親コメント
Re:悪用 (スコア:1)
見えちゃうメールって自分で選べないんだから、偶然悪用できるようなメールが悪用する人の目に入らなければ特に困らないんじゃないかな?
と言う意味のつもりだったんですけど。
私が分からないだけで悪用する事ができるのかな?
と言う事で、”どうやったら悪用できるの?”なんですよ。
悪用できるメールに当たるまで繰り返すって方法はあるか。
もちろん、こういうセキュリティー上の穴は無くすべきだけど
これはそんなに大きな問題ではないんじゃないか?
と思ったもので・・・。
親コメント
Re:悪用 (スコア:2, すばらしい洞察)
たまたま秘密を知ってしまった人が誘惑に勝てず他人の秘密をばらしてしまう危険はあるわけです。
あるいは。
「恥ずかしい」ってのはそれだけでも精神的被害と言えますからね(程度はさておき)。
ごく簡単な例として。
このバグを利用して「今日の100通」とか言って
100回試行してその結果をダラダラ開示するだけのサイト
なんてのを立ち上げられてしまった場合を考えると良いかも。
親コメント
Re:悪用 (スコア:2, 参考になる)
スパム業者が連打してメールアドレス大量ゲットですよ。
始祖あんりあ(Ichigo Mayo)
親コメント
Re:英語は苦手です。 (スコア:1)
親コメント
Re:悪用 (スコア:1)
そのときとは違って今回はメールだから、ランダムでも見られたら困るのもあるのでしょう。
見られたら困るようなものを平文で、β版のフリーメールで送るなって話もありますが。
1を聞いて0を知れ!
親コメント