2009年2月6日

赫然发现 google 的所有离线服务原来都如此危险 o_o

google 的离线服务非常好, 起码大多数时候都是如此.
不过今天在豆瓣的 google 小组中, 碰到一个问题, 我这里摘要一下 ---
  1. 第一次同步时会自动替我选择同步的时间范围, 那之后同步下来的邮件, 如果超出时间范围的会自动删除以保证硬盘文件容量不变吗? 还是以后就不删了?
  
  2. 近期的邮件, 如果我在Online模式时删除了, 会同步从硬盘上的同步文件中删除吗?

  因为看到C盘正在被无情蚕食中...

由于对于 gears 没有啥研究, 唯一的「接触」也就是第一次 gmail 离线同步失败后, 搜索离线数据的存放目录时, 有一次亲密接触. 所以决定亲自试验下, 毕竟咱折腾, 咱娱乐嘛. 囧 何况咱们都是 google 的 fans, 自然希望能够有更多了解.

申请了一个新帐号, jtuki.0x2665@gmail.com, 至于0x2665究竟是啥玩意儿, 您就 google 去吧. 囧
gmail 会对每一个新用户发送一封欢迎邮件 ---

Messages that are easy to find, an inbox that organizes itself, great spam-fighting tools and built-in chat. Sound cool? Welcome to Gmail.

To get started, you may want to:

<XXX 此处省略摘要 XXX>

Thanks,

The Gmail Team

进入 lab 开启 offline 模式, 继而点击之. 等待大约1分钟后, 同步完成. 接下来的任务就是寻找数据究竟存放在哪里.

根据上面的亲密接触的信息, 层层 cd 后来到
~/.mozilla/firefox/q0pvp6rn.default/Google Gears for Firefox/mail.google.com/https_443

查看文件信息
ls -l |less
---------------------------------
total 208
drwx------ 2 jerome jerome 4096 2009-02-06 22:31 GoogleMail[24]#localserver
drwx------ 2 jerome jerome 12288 2009-02-06 22:31 GoogleMail_managed[22]#localserver
drwx------ 2 jerome jerome 4096 2009-02-06 22:29 GoogleMail_managed[23]#localserver
drwx------ 2 jerome jerome 4096 2009-02-02 13:33 icons#desktop
-rw------- 1 jerome jerome 6144 2009-02-06 22:31 jtuki.0x2665@gmail.com-GoogleMail-b#database
-rw------- 1 jerome jerome 157696 2009-02-06 22:31 jtuki.0x2665@gmail.com-GoogleMail#database
-rw------- 1 jerome jerome 13312 2009-02-06 22:31 jtuki.0x2665@gmail.com-GoogleMail-t#database
---------------------------------


可以发现其中几个很显眼的字眼, database, 而且一个文件, jtuki.0x2665@gmail.com-GoogleMail#databas 的体积比另外几个含有database字眼的文件要大不少, 莫非数据就是存放在这里?

为了先稍加验证, 重新开了一个terminal, 进入 ~/.mozilla/firefox/q0pvp6rn.default/Google Gears for Firefox/docs.google.com/https_443 , 也就是 google-docs 的数据存放基地, 查看文件信息
ls -l |less
---------------------------------
total 23144
drwx------ 2 jerome jerome 4096 2009-02-06 16:22 DocImg[14]#localserver
drwx------ 2 jerome jerome 12288 2009-02-05 12:03 Doclist_managed[11]#localserver
drwx------ 2 jerome jerome 4096 2009-02-05 12:03 Doclist_managed[12]#localserver
drwx------ 2 jerome jerome 4096 2009-02-05 12:03 Documents_managed[7]#localserver
drwx------ 2 jerome jerome 4096 2009-01-30 19:13 icons#desktop
-rw------- 1 jerome jerome 270336 2009-02-06 22:22 jerome.rivest.long@gmail.com-Doclist#database
-rw------- 1 jerome jerome 22886400 2009-02-06 22:40 jerome.rivest.long@gmail.com-Documents#database
-rw------- 1 jerome jerome 8192 2009-02-06 11:51 jerome.rivest.long@gmail.com-Logging#database
-rw------- 1 jerome jerome 449536 2009-02-06 10:38 jerome.rivest.long@gmail.com-Presentations#database
drwx------ 2 jerome jerome 4096 2009-02-05 12:03 Presentations_managed[8]#localserver
drwx------ 2 jerome jerome 12288 2009-01-30 19:23 PresImg[13]#localserver
---------------------------------

果然, 相同类型的 jerome.rivest.long@gmail.com-Documents#database 的体积已经非其他database文件所能比拟.
初步估计就是此文件.

不过这些也没啥. 关键是咱们的数据怎么保存的呢? 用文本编辑器打开 gmail 的那个瞅了瞅, 居然发现了明文信息, 顿时冷汗就出来了.. 明文! 没有任何加密..
莫非 gears 没有任何数据保密措施么?..

不妨测试一下:
---------------------------------
$ grep "Messages that are easy to find" ./*
Binary file ./jtuki.0x2665@gmail.com-GoogleMail#database matches
---------------------------------

-_- 真的很吃惊.

那么 docs 文档又是如何呢?
在一篇 doc 文档中挑选了一句测试:
---------------------------------
$ grep "The usual arithmetic conversions" ./*
Binary file ./jerome.rivest.long@gmail.com-Documents#database matches
---------------------------------

更加惊讶, 原来都是明文保存的, 只不过是加上了众多 tag 罢了.

再次回到 gmail offline 的话题, 如果在线删除了 gmail 中的邮件, 再次同步后, 本地会删除么? 就好比 IMAP 邮件存取协议一样, 支持本地和在线同步更新? 测试结果是, no.
换句话说, 在线删除了的文档, 本地依然被保存着, 而且还是明文形式.

So --- 如果不是家庭电脑, 如果 gears 的这个问题总是存在, 如果你身边有一个喜欢偷窥你信息, 而且懂得如何偷窥的人, 如果你的很多信息较为 private, 不希望被他人看到, 那么 --- 您还是关闭 gears 吧. 囧

ps. 当然, 对于大多数, 譬如俺, 就可以坦然的使用啦. 除非, 是在公用电脑上.

update: 2009年2月6日
刚才搜索了一把, 这里提供几个非常有价值的链接:
> http://markmail.org/message/x54ucaczxtfrmaz6 --- 信息爆料: gears 团队已经考虑到了这个信息加密的问题, 只是还没人开始做 囧. 可以有多种办法实现手动加密, 譬如firefox插件, 又譬如 Tara Kelly 的回复(说不定今后很可能被直接整合进入gears).
> http://www.insideria.com/2009/01/google-gearsa-great-tool-to-en.html --- 摘要一段
Gears provides no security of data stored locally, so it is entirely up to the programmer to not store any sensitive data on a local store. Currently, offline data encryption/decryption is completely under the control of the local machine, and any user with access to that machine could conceivably access the data.
同时, 各位也可以看到, 使用gears的服务还真是不少. 囧 还有不少好信息, 大家就去 google 搜索结果上翻吧.

- EOF -

没有评论:

发表评论

不要使用过激的暴力或者色情词汇.
不要充当勇猛小飞侠 --- 飘过 飞过 扑扑翅膀飞走 被雷得外焦里嫩地飞走.
万万不可充当小乌龟 --- 爬过.
构建河蟹社会 责任你有 我有 大家有 -_-

Creative Commons License 转载请指明出处. 谢谢合作.
/***********************
author: jtuki
http://jtuki.blogspot.com/
***********************/