C'est sur la base de leurs témoignages que Google a mis à jour la prétendue vulnérabilité Gmail qui n'en est donc pas une. " Des attaquants envoient des mails personnalisés encourageant les détenteurs de domaines Web à visiter des sites frauduleux comme google-hosts.com qu'ils ont mis en place uniquement pour récupérer des noms d'utilisateurs et des mots de passe. Ces sites n'ont aucun lien avec Google et ceux que nous avons détectés sont désormais hors ligne. Une fois que les attaquants ont obtenu les informations d'identification de l'utilisateur, ils peuvent modifier les comptes concernés comme ils le souhaitent. Dans le cas présent, l'attaquant configure des filtres servant à rediriger les messages ".
Evans en profite également pour signaler qu'en décembre 2007, des vols de domaines ont été imputés à une vulnérabilité de type Cross-site request forgery (CSRF) dans Gmail. Ce genre de vulnérabilité consiste à utiliser un site tiers spécialement conçu, pour mener une action sur un site de confiance où l'utilisateur s'est connecté avec ses droits. Selon Evans, Gmail a effectivement été affecté par une telle vulnérabilité mais en septembre 2007, et cette dernière a été comblée en moins de 24 heures.
Evans cherche donc à réhabiliter Gmail, à ses yeux trop souvent victime de rumeurs dans le domaine de la sécurité informatique. Evidemment conscient de l'exigence dont doit faire preuve Google à ce niveau, Gmail étant parfois utilisé dans un cadre professionnel, il souligne la responsabilité des utilisateurs et leur recommande de ne saisir leurs identifiants Gmail que pour des adresses Web commençant par https://www.google.com/accounts, de ne jamais cliquer sur des avertissements s'affichant à l'écran à propos des certificats.
Rappelons par ailleurs que depuis cet été, dans les " Paramètres ", onglet " Général ", de Gmail, il est possible de forcer la connexion au navigateur en n'utilisant que le protocole https.
