Fuente: kriptopolis

En varias ocasiones hemos hablado sobre cómo hacer para que nuestras sesiones en Gmail transcurran cifradas. Sin embargo eso no evita el uso de cookies no cifradas, lo que bajo determinadas circunstancias puede permitir a un intruso acceder a nuestras cuentas.

El asunto viene de lejos y a él se atribuye algún robo de cuenta (incluso [1] la de algún reputado experto en seguridad), pero ahora (que el ataque ha sido demostrado en Defcon y se anuncia una herramienta para explotarlo) Google ha reaccionado y ha añadido una opción en la configuración de cada cuenta Gmail que permite garantizar el uso permanente y completo de cifrado en https. Sin embargo, me llama la atención que Google, tan proclive en otras ocasiones [2] a adoptar configuraciones por defecto sin contar con el usuario, no haya marcado ésta como opción por defecto. Supongo que se debe a que el cifrado impone una mayor carga a sus servidores.

Por tanto, si utilizas Gmail, te toca a ti hacerlo cuanto antes desde la opción de configuración de tu cuenta, marcando la casilla que señalo en la imagen y pulsando después “Guardar cambios”:

Referencias:

  • Enabling the HTTPS setting [3] [Google].
  • Spied on despite encryption [4] [Heise].
  • Gmail Gains Two New Security Features [5] [Security Fix].

Enlaces
[1] http://www.gnucitizen.org/blog/targeted/
[2] http://www.kriptopolis.org/google-decidio-compartir
[3] http://mail.google.com/support/bin/answer.py?hl=es&ctx=mail&answer=74765
[4] http://www.heise-online.co.uk/security/Spied-on-despite-encryption–/news/111303
[5] http://blog.washingtonpost.com/securityfix/2008/07/gmail_gains_two_new_security_f_1.html