Nouvelle fonction avec une faille ! Ah ben bravo google !

[fabioushka]

Salut à tous,

Gmail propose depuis peu une nouvelle fonction mais qui offre une faille de sécurité que je trouve assez surprenante accesible à n'importe qui n'y connaissant pourtant rien en informatique !

Voila : on peut désormais spécifier une adresse e-mail personnelle différente de celle de son compte gmail, et envoyer un e-mail en utilisant cette adresse dans le champ "expediteur" depuis son compte gmail !

Seulement, le problème et que pour s'assurer que l'on essaye pas d'utiliser l'adresse de quelqu'un d'autre, gmail utilise un système de vérification classique (envoi de code dans un e-mail). Mais voila, une copie de l'e-mail envoyé apparait directement dans la boite de réception gmail, ce qui permet donc d'utiliser le code de vérification !!!

Autrement dis, on peut, avec gmail, très simplement envoyer des emails en prenant l'identité de personnes dont on connait l'adresse e-mail !!!

C'est plutot minable non, pour un site comme google??

a+
fabioushka

[alliax]

ah bon ? normalement la confirmation par email conditionne l'accès au service, donc on ne devrait pas pouvoir se connecter à gmail pour lire la copie de l'email..

Ca doit être là qu'est le problème, la première connexion au service qui se fait sans confirmation ?

[Delapouite]

Autrement dis, on peut, avec gmail, très simplement envoyer des emails en prenant l'identité de personnes dont on connait l'adresse e-mail !!!

Tout comme on le peut avec des clients de messageries outlookiens ou la fonction mail() phpienne.

[dmathieu]

tu veut un exemple qui te montre que c'est faisable ?
http://www.phportail.net/email-anonyme

[Phobos]

Sauf que depuis Gmail, regarde la source du mail qui arrive, je pense que l'on voit tout de suite si c'est la bonne adresse

[moktoipas]

Je viens de tester, le message envoyé n'apparait pas (plus) dans les sent mail ni autre part d'ailleur.

[Haq]

Comme écrit ci-dessus, mettre une adresse expéditeur bidon est à la portée de n'importe quel novice en php.

[Nikos38]

Comme écrit ci-dessus, mettre une adresse expéditeur bidon est à la portée de n'importe quel novice en php.

Et de n'importe quel novice Outlook...

[JeunZ]

Et de n'importe quel novice tout cour via les sites qui proposent ce service.

[Nikos38]

Et de n'importe quel novice tout cour via les sites qui proposent ce service.

Ce n'est même pas un service, c'ets une fonctionnalité de base présente depuis les débuts de l'Internet résultant de la nature même du protocole smtp ...

Les personnes susceptibles de s'en servir à mauvais escient sont au courant depuis des lustres, c'est pas 3 newbies qui vont faire des blagues qui vont changer quelque chose...

En plus, il est toujours possible de tracker l'expéditeur avec les entêtes si vraiment il y a un abus...

[shrom]

tu veut un exemple qui te montre que c'est faisable ?
http://www.phportail.net/email-anonyme

Sauf que dans ce cas, le logiciel anti-spam est censé t'avertir: les en-têtes Return-Path et From n'indiquent pas la même adresse.

Ceci dit, il est possibe de modifier le Return-Path avec la fonction mail de php.

[LeMulotNocturne]

De toutes façons, Gmail ou pas, c'est pas très compliqué d'usurper une identité de mail en emission.

Un pauvre outlook sait le faire...

[wullon]

Oui, mais le smtp de GMail n'autorise que les adresses enregistrés non ?

Donc si on reçoit un email passant par le smtp de GMail, normalement l'adresse émettrice est la bonne, étant donné que GMail envoie cet email de vérification.

Effectivement le laisser dans le dossier "sent" c'est un peu nul, mais apparemment ça ne le fait pas (plus).