Gmail kullanıcısı olmayanlar için öncelikle Gmail'in filtrelerinden söz edeyim. Gmail filtreleri sayesinde herhangi bir özelliğe sahip epostaları (mesela özel birisinden gelen veya içinde herhangi bir metin geçenleri) dilediğiniz şekilde etiketleyebiliyor, başka eposta adresine gönderebiliyor veya silebiliyorsunuz.

Normal şartlarda Gmail üzerinde yaptığınız filtrelemeler veya diğer işlemler çoğu sitede olduğu gibi adresler yerine sayfa içi AJAX sorgularıyla çalıştığı için çoğu kişi yukarıda anlattığım gibi bir filtreyi yaratmak için geçerli adresin nasıl olacağını bulamaz. Ancak bazı Firefox eklentileri sayesinde bu AJAX sorgularının ne gibi parametreler gönderdiğini kolaylıkla görebiliyorsunuz.

Saldırganlar da aynen bunu çözerek, zararlı filtreler yaratarak örneğin Godaddy hesabınızı çalmak için çabalayabiliyorlar.
Domain whois bilgilerinde görülen gmail accountuna, Saldırgan sitelere girdiğinizde, eğer Gmail'e o an giriş yaptıysanız bu yöntemle sizin hesabınızda bir filtre yaratılıyor. Bu filtre ise support@godaddy.com adresinden gelecek tüm epostaları önce saldırganın eposta adresine göndererek, ardından da postayı silerek size gelecek tüm bilgileri saldırgana gönderiyor. Haliyle geriye sadece alanadınızla ilişkili giriş bilgilerinin saldırgan tarafından Godaddy'den istenmesi kalıyor.
Google'ın bu konuya kısa zamanda çözüm bulacağını ümit ediyor herkez. Gmail logosunda hala Beta yazısının nedenlerinden biri bu olsa gerek...

detaylar
http://arstechnica.com/news.ars/post...-in-gmail.html (http://arstechnica.com/news.ars/post/20070927-cross-site-request-forgery-vulnerability-found-in-gmail.html)