突尼斯劫持Gmail

原始来源：http://shellex.info/gmail-is-hijacked-by-tunisia-internet-agency/

其实下三滥的手段大家都不怯于用，用得好那是行为艺术；否则就像突尼斯gov一样(via: 1, 2)。不过至少人家还有一个Tunisia Internet Agency，大宋却只有一神奇的相关部门，东方思维方式之微妙岂是妳们夷人能领悟的。哈。哈。哈。


话说回来，Gmail不是那么好伪装的，因为Gmail自登录后都进入全程强制Https绝对领域全方位多角度保护防侧漏，所以这次突尼斯也只能靠ban掉https来做前戏。
虽然Gmail在登录后都是全程强制Https绝对领域全方位多角度保护，但是进入Gmail的方式上却值得商磋。URL。有多少人是直接输入gmail地址来进入Gmail的？
直 接输入Gmail.com？那就是 http://gmail.com，服务器会通过301重定向到 http://mail.google.com ， 再302重定向到 https://www.google.com/accounts/ServiceLogin 。
注意到 http://gmail.com 和 http://mail.google.com 都是http的，像TIA其实完全可以通过这劫持两个页面伪装出一个稍微像那么回事的Gmail login page。结果现在页面上还整几个php errors，TIA阿，too simple too 那啥阿。
也给喜好到处蹭网的同学/看官/猫提个醒，来路不明的Public Wifi也好，酒店的免费网路也好，连上以后悠着点，脑门儿上的网关屏幕前面坐着一个猥琐男，正是是妳的ISP，想从妳的Gmail里面搞点艳照来看看。 全程VPN/SSH tunnel护航是最佳选择，否则就老老实实地只敲 https://mail.google.com 而且自行校验证书。妳说我不登录关键网站可以不，猫说浏览器缓存是可以投毒的，然后妳就懂了。明白？