Una nuova falla è stata rilevata nelle funzionalità di Gmail, il web client di posta elettronica di Google, una falla di proporzioni non indifferenti considerato che permette, secondo l’analisi di Geek Condition, di modificare i filtri degli account utenti e reindirizzare e-mail senza che l’utente stesso se ne accorga. Il problema è diventato rilevante quando alcuni utenti hanno perso il possesso dei propri domini registrati.

Senza scendere troppo nel dettaglio, la chiave della questione risiede nella richiesta delle variabili, che rappresentano user name e "at": quando si crea un filtro con Gmail viene generata una richiesta server in forma di URL con molte variabili. Per ragioni di sicurezza il browser non visualizza le variabili, di cui l’URL è composto, ma basta un tool per Firefox chiamato Live HTTP Headers per risolvere il problema.

Ottenuto questo, è sufficiente riconoscere tra i vari campi quello dello user name, difficile ma non impossibile (e secondo l’autore basta navigare un po’ tra i meandri di Internet per trovare come fare). La soluzione sembra essere quella di far scadere le variabili alla fine di ogni sessione ed è disponibile anche un'estensione di Firefox chiamata NoScript, che aiuta a prevenire attacchi di questo tipo.

Il problema però resta e teoricamente ogni sito visitato che utilizza cookie potrebbe avere o sfruttare una falla di questo tipo. Il rimedio migliore è sempre quello classico, ovvero effettuare il logoff ogni volta che si termina il lavoro. Per il momento Google non ha ancora rilasciato dichiarazioni al riguardo.