Gunakan HTTPS untuk GMail

Sebuah tool yang dapat digunakan untuk membajak sesi Gmail akan segera dirilis. Ketika Anda login ke Gmail, username dan password memang selalu dikirimkan dalam bentuk terenkripsi, namun demikian, setelah Anda login, Anda hanya akan diidentifikasi menggunakan cookie yang dikirim tanpa dienkripsi. Jika seseorang mendapatkan cookie ini, maka orang tersebut akan bisa mengakses account Gmail Anda, tanpa perlu tahu password Anda. Serangan semacam ini disebut sidejacking. Pencurian cookie ini bisa dilakukan jika Anda menggunakan hotspot yang sifatnya publik, di warung Internet atau jaringan manapun yang kurang aman.

Untungnya GMail telah menyediakan opsi untuk melakukan koneksi via HTTPS agar cookie Anda selalu dienkripsi (Akhiran S artinya secure). Sayangnya opsi ini tidak aktif secara default. Anda Perlu pergi ke settings, scroll ke bawah pilih "Always Use HTTPS" dan pilih "Save Changes". Meski belum dibuktikan, pengguna layanan email lain (Hotmail, Yahoo, dll) juga sebenarnya berpotensi diserang dengan cara serupa namun saat ini tools yang mudah untuk menyerang layanan mail selain GMail belum tersedia secara umum (tools yang agak kompleks seperti Hamster dan Ferret sudah tersedia untuk menyerang situs manapun). Jika tools serupa dirilis untuk Yahoo dan Microsoft, hal itu akan sangat menyulitkan pengguna karena layanan-layanan tersebut, seperti kebanyakan layanan email gratis lain, tidak menyediakan protokol HTTPS.

Posted in: info,web