กูเกิลได้เพิ่มฟีเจอร์ป้องกัน Cross-Site Request Forgery (CSRF) ในส่วนการล็อกอินเข้า Gmail โดยจะมีโทเคนเฉพาะ (unique token) ที่เก็บในคุ้กกี้เพื่อเอาไว้ตรวจสอบว่ามีการร้องขอ (request) การล็อกอินเข้ามาจริงหรือไม่
CSRF เป็นความพยายามที่จะเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาตอย่างหนึ่ง เช่น ผู้ใช้ล็อกอินทิ้งไว้แล้วไปเข้าเว็บไซต์ที่มีสคริปที่จะเข้าถึงอีกเว็บไซต์ที่เราล็อกอินทิ้งไว้โดยที่ผู้ใช้ไม่ทราบ ตราบเท่าที่เซสชันคุ้กกี้ของเว็บไซต์ดังกล่าวยังไม่หมดอายุลง ก็จะเสี่ยงต่อการเข้าถึงในลักษณะ CSRF ได้ ทางแก้ไขคือเว็บไซต์ควรมีการป้องกันอีกชั้นหนึ่งเพื่อตรวจสอบการร้องขอว่าถูกต้องหรือไม่ โดยใช้โทเคนเฉพาะที่สามารถสุ่มขึ้นมาได้ไม่ซ้ำกันในแต่ละครั้ง
CSRF พบได้บนบริการของกูเกิล รวมถึง Gmail แต่ที่ฟีเจอร์การป้องกัน CSRF นี้ไม่ได้รับการใส่เข้าไปก่อนหน้านี้เนื่องจากอาจทำให้ผู้ใช้หลายคนประสบปัญหาในการล็อกอินได้
กรรม ผู้ใช้บริการของกูเกิลที่ต้องล็อกอินเสี่ยงภัยอยู่ทุกวันหรือนี่!?
ที่มา: Softpedia