不管你的密码在Google的眼里安全等级有多高，黑客还是可以轻易地利用Google的漏洞而完全控制你的Google帐号。这并不是天方夜谭，而正是最近这两天发生的事。发现这个漏洞的不是别人，正是之前常常以挖掘Google代码为乐的Tony Ruscoe（他的代表作）。

　　为了验证Tony发现的这个漏洞，Philipp亲自和他做了个实验。实验过程很简单，Tony给Philipp发送一个放置在xxx.google.com上面的网页的链接，Philipp只需点击它，Tony即获得了Philipp的Google帐户的所有权限（Philipp点击网页链接时Google帐号处于登入状态）！这是一个很容易让人上当的过程，因为在绝大多数情况下，在Google官方子域名上面的网页，我们都认为是安全的。

　　上面的实验的原理是Tony事先写了一段代码，并且把它放在网页上，再利用Google的漏洞，把这个网页放上Google子域名上。当Philipp（或任何Google帐户处于已登录状态的Google用户）进入这个网页时，Philipp的Google cookies就会被自动发送给Tony，而Tony则可以从Philipp的Google cookies里获得Philipp的Google帐户的资料，甚至还可以直接更改Philipp的密码。也就是说，Tony通过这样一个简单的网页，即可完全控制了Philipp的Google帐户。要阅读Philipp的Gmail、更改他的Google Doc & Spreadsheets文档，又或者阅读他的Google搜索记录，都完全不在话下，轻而易举。

　　这样的漏洞可导致的后果对于所有Google用户而言都是灾难性的，不过幸好Tony及时通知了Google，而Google则在3.5小时后就修复了这个漏洞。Tony今天在确认Google官方已经修复该漏洞的情况下，公开了漏洞的详情，大家可点击这里阅读。简单地说，Tony是抓住了Blogger新近增加的允许用户自行绑定域名功能的一个漏洞而达到目的的。

　　如果你还记得，利用Google子域名来欺骗用户的事件之前已经发生过了，那正是去年9月发生的Gmail Plus事件。不过幸运的是，这两个发现漏洞的人都没有恶意，并且他们都在发现漏洞后，第一时间通知了Google，等漏洞被修复后才公开经过。这是正确的做法，因此如果某天你也发现了Google的安全性问题，建议第一时间通知Google，详细的联系方法可查看G速客之前的文章。