از نظر اهل فن رخنه به Gmail کاری ساده است و حتی تمهیدات امنیتی معمولی نیز نمیتواند مانع مهمی برای نیل به این هدف شیطنتآمیز تلقی شود.
هنگامی که کاربری وارد Gmail میشود، سرورهای گوگل سریهای متنی کوچکی به نام کوکی (Cookie)در رایانه کاربر قرار میدهند. وجود کوکیها نشانه این مطلب است که کاربر از نام کاربری (user name) و کلمه عبور (password) صحیحی استفاده کرده است. در این صورت اگر کاربر شخصاً log out نکند، حساب وی میتواند حداکثر تا دو هفته به صورت لاگینشده، باقی بماند.
مشکل از آنجا شروع میشود که کوکیهای Gmail میتوانند هم در شبکههای ایمن و هم در شبکههای ناامن، نقل و انتقال داشته باشند. اگر کوکیها برچسب ایمن (secure) خورده باشند، به این معناست که این فایلها فقط در شبکه مورد استفاده کاربر و در جلسات رمزنگاری شده (https://) امکان جابجایی دارند. در حالی که کوکیهای فاقد این مشخصه (با توجه به درخواست وبسایتهایی که این درخواستها از ورودی وبسرورها ناشی میشود)، در هر شبکهای امکان تبادل و جابجایی دارند.
نتیجه آنکه اگر کاربری با استفاده از آدرسهای رمزنگاری شده وارد حساب خود در Gmail شود، هکرها برای ردگیری ترافیک شبکه وی و در نتیجه هک کردن حساب Gmail او، تنها کاری که باید انجام دهند این است که کاربر را به مشاهده یا بارگذاری یک تصویر، لینک یا هر داده دیگری از
http://mail.google.com وادار نمایند!
در این صورت مرورگر کاربر، کوکیها را به Gmail فرستاده و هرکس که بتواند ترافیک شبکه او را رصد کند، به آسانی میتواند با بارگذاری آن کوکیها در رایانه خود، به اطلاعات inbox کاربر نگونبخت دست یابد.
گفتنی است که ابزارهای مختلفی در اینترنت وجود دارد که از آنها میتوان به رایگان برای مشاهده ترافیک اینترنتی شبکههای کابلی یا بیسیم و نیز تزریق تصاویر، لینکها و انواع دادهها به عملیات نقل و انتقال در ترافیک شبکههای وب استفاده کرد.
از حفره امنیتی یادشده اغلب در شبکههای بیسیم میتوان استفاده کرد اما باگ معروف DNS که توسط دان کامینسکی شناسایی شده است، کاربرد بسیار بسیار گستردهتری در منحرف کردن ورودی شبکههای ISP و نفوذ به رایانهها دارد.