>Vulnerability in Gmail

>

Security experts have revealed a vulnerability in Googles mail service, Gmail.
This is not my area of expertise so if I make any mistakes they are mine and not the original authors.

The reason for publishing the details is according to the author that Google was informed of the risk in August 2007 and they have decided not to take any action.
The vulnerability lies in the “Change password” function, and the problem is that the authorization for changing password is stored in a session cookie and could be collected by other sites. This is called “Cross-Site Request Forgery” or CSRF (and this is fun, you read this as Sea-Surf).

A website with this malicious code could under the right circumstances (i.e. the visitor has logged in to Gmail during the same session, and stay on the “evil” website during the whole procedure) use the cookie to change the password for the visitor.
Even worse in my opinion, they can by trying to change to a simple password (that Gmail won’t accept) confirm that the password analysis is correct. That way an attacker could get access to your Gmail account without you knowing it. The difference to if they would change your password is that you would of course notice it when not being able to log in.

Google have no records of any use of this vulnerability and say that it is unlikely that it will be used since the circumstances are so precise. I don’t know about you but I stay logged in to Gmail and other Google services all the time while browsing (Gmail Chat anyone?). I just don’t see why they don’t change it, as far as I understand it would be enough to add an extra authentication (i.e. ask for password again) to render the exploit useless, so why not Google?

“Proof-of-Concept” – Seclists

Article (in Swedish) – IDG

>Statistik Àr roligt

>Jag erkĂ€nner, det hĂ€r Ă€r ganska poĂ€nglöst och sĂ€ger egentligen ingenting, “Det finns lögn, förbannad lögn, och statistik” som vi alla vet. Ibland vaskas och vinklas lustiga “fakta” fram och dĂ„ Ă€r det svĂ„rt att lĂ„ta bli.

Rolig fakta 1.
De porrsurfar mest i den mormon tÀta staten Utah (över 70% av invÄnarna Àr mormoner enligt Wikipedia, Salt Lake City Àr ocksÄ kyrkans huvudsÀte). Utan att undersöka kÀllan nÀrmare citerar jag Wikipedias citat:
“Enligt kyrkan lĂ€ggs stark tonvikt pĂ„ familjelivet, avstĂ„ndstagande frĂ„n alkohol och tobak samt tillĂ€mpning av goda moraliska principer.”
Skönt att veta att inte porr strider mot goda moraliska principer.

Rolig fakta 2.
8 av de 10 porrsurfgladaste staterna röstade pÄ McCain.
Den konservative kandidaten kÀmpade för kÀrnfamiljen sa han va?

Om man vill lĂ€sa statistiken ur en annan vinkel sĂ„ kanske McCain anhĂ€ngarna och mormonerna helt enkelt Ă€r vĂ€ldigt inne pĂ„ det hĂ€r med ny teknik, jag Ă€r dock försiktigt skeptisk. Utan att ha lĂ€st grundartikeln i Journal of Economic Perspectives Ă€r det ju svĂ„rt att sĂ€ga men jag gissar att man inte tog annan porrkonsumtion i beaktning. Om de gjorde det Ă€r svenska mediers rapportering under all kritik. Även om jag kan förstĂ„ dem om sĂ„ Ă€r fallet, det blev ju mycket roligare sĂ„hĂ€r :)

Enda frÄgan som kvarstÄr Àr nÀr vi fÄr se samma undersökning i sverige, och hur gÄr det dÄ för Jönköping?
LÀs artikeln pÄ hos DN

>Ordning i kalenderkaoset

>

Jag vet inte om det bara Àr jag som kÀmpar med den digitala revolutionen och vÀgrar anvÀnda kalendrar gjorda av omiljövÀnligt papper, de som Àr som jag vet att det inte Àr helt lÀtt alla dagar. Min sambo som med en dÄres envishet skriver ner allting skrattar Ät mina bekymmer, antingen har hon kalendern med sig, eller inte. SÄ hÀr kommer dÄ mitt problem, och Ätminstone nÀstan en lösning.

Jag har en kalender pÄ Exchangeservern pÄ jobbet.
Eftersom jag Àr uthyrd konsult har jag ytterligare en kalender pÄ Exchangeservern hos min uppdragsgivare. För att göra allt spÀnnande tillÄter den servern ingen extern access, man mÄste vara pÄ plats.
Till sist har jag en telefon (HTC Touch Diamond, Windows Mobile 6.1) dÀr jag ocksÄ anvÀnder kalendern, privat kalender kan man kalla den.

Att anvÀnda telefonen tillsammans med nÄgon av exchange kalendrarna Àr inget problem. Synkroniseringen dÀr fungerar utmÀrkt, dÄ fÄr jag mailen ocksÄ. TyvÀrr klarar WM (Windows Mobile) bara en Exchangekoppling. DÄ Àr det en kalender som jag aldrig har med mig, det blir sÄ mycket svÄrare att planera livet nÀr man inte vet om man kommer jobba sent etc.
AlltsÄ behövde jag ett sÀtt att sammanföra mina 2 kalendrar, och sen synkronisera den till telefonen.

Lösningen Àr ironiskt nog, att föra in ytterligare en kalender i spelet.
Jag aktiverade Google Calendar till mitt google konto, anledningen kommer hÀr:
Google har ett program som heter Google Calendar Sync. Funktionen Àr enkel men ack sÄ anvÀndbar nÀmligen att synkronisera din Outlook med din Google Calendar.

Eftersom jag Ă€r lagom nördig har jag bĂ„de en laptop jag anvĂ€nder pĂ„ jobbet och en privat dator hemma. Jag satte helt enkelt upp ett Exchange konto pĂ„ varje dator ”jobbets” hemma och uppdragsgivarens pĂ„ kontoret. In med Google Calendar Sync pĂ„ bĂ„da och
Tada!

Helt plötsligt hade jag en kalender som innehöll allt, Google Calendar min spindel i nĂ€tet eller vad man vill kalla den. Faktum Ă€r att jag ju helt plötsligt hade 3 helt uppdaterade kalendrar eftersom jag synkar ”2-way” alltsĂ„ Ă„t bĂ„da hĂ„llen. DĂ„ Ă„terstod bara att fĂ„ in allting i telefonen.

Först synkroniserade jag med jobbets Exchange server (vilket faktiskt fungerade utmÀrkt). Efter en veckas glatt synkroniserande upptÀckte av en ren slump jag att Google slÀppt en ny tjÀnst. Google Sync for Windows Mobile. Nu blev jag nyfiken, jag hade ju alldeles nyss suttit och lÀst om synkroniseringar tills ögonen blödde. LÀser pÄ och blir sÄ dÀr barnsligt glad som folk inte förstÄr att man bör bli av fina IT lösningar.

Funktionen Àr enkel, genom att anvÀnda den i WM inbyggda möjligheten till synkronisering (ActiveSync) kunde man nu synkronisera direkt med Google, bÄde kalender och kontakter.
Girig och nyfiken som man Àr var jag tvungen att prova, funkar fint! Jag har nu 4 synkroniserade kalendrar och dessutom kontakterna synkade mellan GMail och telefonen. Se bilden högst upp sÄ förstÄr ni (kanske) storheten (snart kanske jag lyckas rÀkna ut hur jag fÄr bilden att hamna mitt i texten ocksÄ).

+
Allt synkroniserat, glömmer inte och dubbelbokar inte.
Sköter sig sjÀlv efter uppsÀttning
Ordning pÄ kontakterna (lÀttare att redigera i datorn Àn pÄ telefonen dessutom)
Google lyckas lura Ätminstone mig med sin vÀnskapliga ton, bÄde i instruktioner och community forumet dÀr Àven anstÀllda Àr aktiva.

”Onödigt” mellansteg via Google
Google Sync Àr Beta, pÄ gott och ont
Inget stöd för mailsync
Inget stöd för multipla kalendrar

Extra fundering
Anledningen till att jag var tvungen att blanda in Google var att Windows Mobile inte stödjer mer Ă€n en Exchange koppling. SĂ„ Microsoft tvingar mig att gĂ„ via Google som nu Ă€r min ”huvudkalender” och den jag anvĂ€nder mest istĂ€llet för Outlook. Det kan inte vara smart business att ge bort marknadsandelar pĂ„ det sĂ€ttet. Det inser de ocksĂ„, dĂ€rför slĂ€pps WM 6.5 nĂ„gon gĂ„ng senare i Ă„r (pratats om sommaren). DĂ„ ska det enligt uppgift finnas stöd för flera kopplingar, den som lever fĂ„r se!

LĂ€s mer
Google Mobile Blog
IDG – Om Google Sync

>Inledning/Introduction

>Now it begins!

I’m gonna start writing about fun, useful hints and solutions, news etcetera.
The main goal is not that grand, I just like writing and it keeps me alert. If someone happens to read it I will of course not complain.

To start with I will be writing mostly in Swedish unless I feel like there is a reason for English, you’ll notice I guess. I would also like to take the opportunity to ad that when I shameless promote a product or service it is because I like it. No one pay me to write anything (positive or negative), I’m just easily Wowed. However if someone want to pay me you are of course welcome to send me a mail and we’ll see if it’s something that I like :)

***********************************

Nu börjar det!

TÀnkte börja skriva lite hÀr om roliga och anvÀndbara tankar, nyheter, lösningar och sÄ vidare. Huvudsyftet Àr egentligen inget annat Àn att det Àr kul att skriva och hÄlla igÄng hjÀrnan lite, men om nÄgon skulle rÄka lÀsa det hela gör inte det nÄgonting.

Åtminstone sĂ„hĂ€r i inledningen kommer det allra mesta vara pĂ„ svenska om det inte finns skĂ€l till att skriva pĂ„ engelska men det lĂ€r ge sig. Vill ocksĂ„ passa pĂ„ att sĂ€ga att nĂ€r jag gör skamlös reklam för en produkt eller tjĂ€nst Ă€r det för att jag gillar den. Ingen betalar mig för att skriva positiva saker, jag Ă€r bara lĂ€ttflirtad. DĂ€remot om nĂ„gon vill betala mig sĂ„ Ă€r det bara att skicka ett mail sĂ„ ska vi se om ni sĂ€ljer nĂ„got jag gillar :)