googlemail.coml.com - bezpečnostní výjimka v Thunderbirdu

[Übermensch]

Občas se mi stane, že mi vyskočí okno s přidáním bezpečnostní výjimky (viz screenshot). Nicméně adresa http://googlemail.coml.com nemá s Gmailem pranic společného.

O co jde a proč se mi to objevuje?

[attachment deleted by admin]

[donny]

Jak se píše v tom dialogu - "... což může znamenat krádež identity.". To znamená, že jakýsi server coml.com se snaží vydávat za server googlu. Jsou-li ti data milá, nic takového nepovoluj.

[daysleeper]

muzes tady dat vypis toho certifikatu ("Zobrazit")?
dela to to same, pokud se prihlasis na gmail pres prohlizec (ne pres thunderbird)?

[Übermensch]

donny: Jak se může vydávat za Google?
daysleeper: Na webu to pokud vím nedělá. Až se mi to znovu zobrazí, dám to sem.

[daysleeper]

mohlo by se jednat o dns poisoning (utok na dns server ktery pouzivas). gmail.com pak vede na jinou ip nez by mel a domena pak muze byt presmerovana na jinou, na kterou ma utocnik certifikat (googlemail.coml.com). certifikat je pak platny, ale nesouhlasi s nazvem domeny (gmail.com), kterou mas v nastaveni uctu, tak mozna proto TB rve.

pokud by to byla pravda, byla by presmerovana stranka gmail.com i v prohlizeci, ale tam bys to nemusel poznat (je potreba zkontrolovat certifikat a nazev domeny v URL radku). uz take ale muze byt po utoku.

[Übermensch]

Tak se mi to objevilo znovu, když jsem opět používal připojení GPRS přes T-Mobile. Je možné, že to s tím souvisí, jinde se mi to nezobrazuje.

daysleeper: Co přesně z toho certifikátu sem mám dát? Po kliknutí na "Zobrazit" tam jsou obecné informace, jako Vydáno pro, Vydal, Platnost, Otisky...

[daysleeper]

jestli muzes udelej screen obecne i detaily
pokud jsi pripojen pres GPRS zkus se i v prohlizeci pripojit na https://gmail.com (nebo jiny server ktery pouzivas pro prijeni na imap) a zkontroluj, jestli te to nekam nepresmeruje
taky vypis

Kód: [Vybrat]

dig gmail.com


[Übermensch]

Takže zatím přikládám okno s detaily certifikátu, které jsem si ještě stihl sejmout, podrobnosti budou nejdříve za týden.



[attachment deleted by admin]

[Übermensch]

V prohlížeči mě to nepřesměrovává, objevuje se to jen u poštovního klienta (tzn. u jiného protokolu než http).

Kód: [Vybrat]

lelkoun@laptop:~$ dig gmail.com

; <<>> DiG 9.7.3 <<>> gmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13068
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;gmail.com. IN A

;; ANSWER SECTION:
gmail.com. 258 IN A 209.85.148.19
gmail.com. 258 IN A 209.85.148.18
gmail.com. 258 IN A 209.85.148.17
gmail.com. 258 IN A 209.85.148.83

;; Query time: 251 msec
;; SERVER: 93.153.117.1#53(93.153.117.1)
;; WHEN: Thu Aug  4 22:53:14 2011
;; MSG SIZE  rcvd: 91

[daysleeper]

nevidim tam nic neobvykleho, takze nevim

jen nesedi nazev serveru u prvniho a druheho screenu

[Übermensch]

jen nesedi nazev serveru u prvniho a druheho screenu

A to je právě divný.

[daysleeper]

mozna by pomohl vypis nejakeho sniffera, treba wireshark, jestli to umis
komunikace by mela byt sifrovana, takze teoreticky bez problemu, jen treba zmen sve ip za xxxxx atd

[Übermensch]

Wireshark jsem kdysi používal, ale tohle je jak hledat jehlu v kupce sena, vůbec nevím, kdy na mě to okno v Thunderbirdu příště vyskočí. Může to být za den, dva dny, anebo taky za týden.

[rainbof]

jednoznacne nepovolovat. server coml.com bych asi blacklistoval pomoci hostu. Napadlo mne ze se muze jednat o lumparnu nejakeho doplnku.

[Übermensch]

To je možné, nějaké doplňky používám (MinimizeToTray Plus, SmartTemplate).

Ale pak nechápu, proč to okno se objeví jen tehdy, když se připojuju na net přes mobil. Jindy to nedělá.