Có thể lấy tài khoản Gmail bằng một đoạn mã nhỏ

VNExpress.net – Khoảng 60 người dùng dịch vụ e-mail này vừa thông báo bị mất danh sách liên lạc trong hòm thư, gây ra tình trạng hoang mang trong cộng đồng sử dụng. Vấn đề này nằm ở chỗ các tài khoản Gmail được lưu trong một tập tin JavaScript, rất dễ bị lợi dụng.

“Lỗi trong định dạng trao đổi dữ liệu JavaScript Object Notation có thể bị khai thác để trình bày mọi thông tin”, Heather Adkins, một giám đốc bảo mật tại Google, cho hay. “Nhưng chúng tôi được biết hiện chưa có thiệt hại gì xảy ra”.

Mặc dù Google đã sửa lỗi nhưng giới tin học vẫn hoài nghi về sự an toàn của dịch vụ e-mail phổ biến thứ 3 trên thế giới. Lỗ hổng này đã giúp cho tin tặc tạo ra một trang web giả có thể copy mọi địa chỉ liên lạc trong hòm thư Gmail của người sử dụng. Kẻ xấu sẽ lấy cắp rồi gửi spam hoặc bán dữ liệu cho những bên có nhu cầu.

Điều đáng nói là lỗi này đã được phát hiện từ một năm trước mà vẫn chưa được sửa hoàn chỉnh. Jeremiah Grossman, chủ tịch Hội hacker mũ trắng của Mỹ, đã thử nghiệm và cảnh báo lỗ hổng này. Anh chèn một đoạn code vào máy chủ của Gmail. Khi có bất kỳ tài khoản nào đăng nhập vào trình duyệt, đoạn mã sẽ lấy thông tin và báo về cho anh ngay trên màn hình.

“Một đoạn mã nhỏ có thể khiến cho trình duyệt web tự động gửi yêu cầu HTTP ngoài domain cho Gmail”, Jeremiah cho biết. “Nếu nạn nhân đăng nhập vào tài khoản, cookies của phiên truy cập sẽ được gửi về cùng với danh sách tài khoản có trong hòm thư của họ”.

Một đoạn bài viết kiểm tra thử nghiệm của Jeremiah Grossman. Danh sách tài khoản báo về hiện ở màn hình bên phải nhưng đã được bôi đen. Ảnh: Blogger.

Hiện giới tin học khuyến cáo:

- Không nên đặt dữ liệu nhạy cảm vào tập tin JavaScript, gắn các đuôi HTML cho dữ liệu này để bảo vệ chúng.

- Nếu buộc phải chứa dữ liệu quan trọng trong các tập tin JavaScript, cần làm cho đường dẫn URL trở nên phức tạp, không thể đoán định được.

- Đảm bảo các file không thể bị truy cập từ bất kỳ đâu bằng chỉ dẫn ngoài domain.

- Khi duyệt Gmail, người dùng nên tắt các chức năng JavaScript trên trình duyệt đang sử dụng (vào Tools > Internet Options > thẻ Advanced > bỏ dấu chọn ở mục Java/Sun) hoặc đưa trang gmail.com vào mục Trusted Sites.

T.H. tổng hợp

Tải videoclip từ các blog

Hiện nay trên các blog của Yahoo! 360^o ngày càng xuất hiện nhiều những đoạn videoclip phim hoặc ca nhạc được các bạn tự tay “bào chế” và chèn vào blog của mình. Nếu muốn tải chúng về để xem offline, bạn hãy thực hiện như sau (áp dụng cho cả 2 trình duyệt Internet Explorer và FireFox).

Trong trình duyệt web của bạn, tại trang blog có file videoclip “xài ké” của dịch vụ YouTube hay Google Video. Bạn vào menu View > Source (hoặc tại vị trí bất kỳ trong trang, bạn chọn View Source trong trình đơn chuột phải). Ngay lập tức một file notepad sẽ xuất hiện, bạn hãy bấm tổ hợp phím Ctrl+F (menu Edit > Find) để gọi hộp thoại Find.

Trường hợp với YouTube, bạn nhập từ khóa là “youtube.com” vào ô Find what và bấm Enter. Bạn sẽ tìm được địa chỉ dạng như sau:

http:\/\/www.youtube.com\/v\/zguOoMqvVUk

Trường hợp với Google Video, bạn nhập từ khóa là “video.google.com” vào Find what và bấm Enter để thực hiện, kết quả tìm thấy sẽ là:

http:\/\/video.google.com\/googleplayer.swf?docId =2907828482994238130

Bạn hãy sửa lại địa chỉ để được thế này (lưu ý chữ I trong docId  thành i):

http://www.youtube.com/watch?v=zguOoMqvVUk

http://video.google.com/videoplay?docid=2907828482994238130

Đây là địa chỉ file gốc trên website chính thức của YouTube và Google Video mà các tác giả đã chèn vào blog của mình, bạn hãy thực hiện một số thao tác để tải về xem offline như nhờ trang Keepvid: http://keepvid.com hoặc phần mềm Video Downloader 1.0. Hoặc tải bằng 2 cách đơn giản sau, cũng rất hiệu quả:

1. Tải Youtube thủ công (không cần thông qua một trang trung gian nào cả):

Mở một trang mới trong trình duyệt bạn đang sử dụng và paste vào ô Address đường dẫn mà bạn đã tìm, ví dụ: http://www.youtube.com/v/zguOoMqvVUk (có nghĩa là, trong Notepad, sau khi tìm được cụm địa chỉ, bạn chỉ cần xóa các dấu “\”). Sau đó, bấm Enter.

Lúc này, tại trang bạn vừa duyệt xong sẽ xuất hiện cửa sổ file videoclip của YouTube giống hệt trong blog bạn đã xem. Tuy nhiên, trong khung Address bây giờ sẽ có sự thay đổi như sau: http://www.youtube.com/p.swf? video_id=zguOoMqvVUk&eurl= &iurl=http%3A//sjl-static4.sjl.youtube. com/vi/zguOoMqvVUk/2.jpg&t= OEgsToPDskKJNIowec2mlgUudAmiZ3tw.

Tại khung Address, bạn hãy thay chữ “p.swf” bằng chữ “get_video”.

Bấm Enter để tiến hành tải file từ YouTube về máy của mình. Cửa sổ download sẽ xuất hiện và bạn chỉ tìm thư mục để lưu file cần tải mà thôi.

Lưu ý: Bạn có thể dán đường dẫn sau khi đã thay bằng cụm từ “get_video” vào bất kỳ chương trình hỗ trợ download như: Flashget, Internet Download Manager… để tăng tốc độ tải về.

Sau khi download về, file sẽ có tên “get_video” bạn cần thay đổi tên file để tránh bị ghi đè lên khi thực hiện ở lần sau.

Để xem được file có định dạng này (*.flv), bạn dùng Windows Media Player 11, hoặc phần mềm Riva FLV Encoder, FLV Player hoặc chuyển đổi về các dạng file thông thường nhờ các công cụ trực tuyến như Media-Convert , FLV Online Converter …

2. Tải Google Video:

Bạn dán đường dẫn gốc của Google Video, ví dụ: http://video.google.com/videoplay?docid=2907828482994238130) vào khung Address của IE. Sau đó, bấm vào nút Download để tiến hành download về máy. Nếu máy bạn có cài đặt chương trình hỗ trợ download thì không nên chọn download trên các phần mềm này vì chúng sẽ tải về toàn bộ trang web dưới dạng htm. Hãy chọn Manually download video để download bằng trình duyệt web của bạn.

File bạn tải về có định dạng *.gvp. Để có thể xem được file này, bạn hãy download chương trình Google Video Player ngay kề bên dưới (Manually download Google Video Player).

PHƯƠNG VŨ (LBVMVT)