ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
　知らなかったが、
http://jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/
あなたのGmailをすべて盗まれる, Googleの巨大なセキュリティホール
というのがあったらしい。
　ログインしてるユーザのメールアドレスがわかってしまうというもの。
　もう穴をふさいだそうなので、一安心ではある。

　コメントにある
--- ここから ---
「メールをすべて盗まれる」というのはどうみても大げさでしょ。メールアド
レスがサイト側に知られる程度だろう。大きな穴ではあるが、壊滅的というほ
どではない。
--- ここまで ---
は、甘いんじゃないか。
　送られてくるメールの画面をみると、Googleのデジタル署名(電子署名)があ
りますよね(signed-by: google.comになっている)。
　もし、このデジタル署名が本物なら、フィッシング詐欺のサイトを作って、
「今度、新サービスを始めます。ベータ版ですが、試してみたい人は、こちら
からログインしてください」
などというメールを送って、誘導できますよね。
　信用しますよね。何しろ、Googleがデジタル署名してるんだから。
　フィッシング詐欺のサイトにログインすれば、もちろん、IDとパスワードは
盗まれるわけで、あとは盗んだIDとパスワードでログインすれば、メールを読
むこともできるし、芋づる式に他のメールアドレスも盗めるし、やり放題でし
ょう？
　単体では大したことないセキュリティホールでも、合わせ技が使える場合は、
大きな問題になりますからね。
　まさか、ここを読んでいる人で、フィッシングについて知らない人はいない
と思うが、念のため。

http://ja.wikipedia.org/wiki/フィッシング_(詐欺)

http://slashdot.jp/security/article.pl?sid=10/11/22/0111211
Gmail にログインしている E-mail アドレスを盗まれるセキュリティホール
というのもあるね。
http://slashdot.jp/security/comments.pl?sid=514550&threshold=1&commentsort=3&mode=nested&cid=1862240
という意見もあるね。一理ありますよね。

関連：
http://iiyu.asablo.jp/blog/2010/11/30/5548391
クラウドでクラッキングも楽勝になってきた。^^;