Writely speichert Passwörter im Quelltext
Ohoh, da haben die Writely-Entwickler aber nicht aufgepasst. Die Zugangsdaten zum eigenen Blog, sofern man sie denn angegeben hat, stehen offensichtlich und unverschlüsselt im Quelltext von Writely. Zwar sind sie nur in der Bearbeitungsansicht zu sehen, aber trotzdem haben sie im Quelltext nichts zu suchen und stellen eine Gefahr da.
Der Fehler tritt auf wenn man Writely dazu benutzt Blog-Postings aus der Ferne zu schreiben. Dieses Feature bietet fast jede Blog-Software mittlerweile an und ist schon üblich. Es wird also der Text in Writely geschrieben und formatiert und dann an den Blog gesendet welcher es in der Form automatisch veröffentlicht. Dafür braucht Writely natürlich die Zugangsdaten des Blogs, die man der Software vertrauensvoll gibt.
Solche Variablen sollten eigentlich auf dem Server zwischengespeichert werden und nicht im Quelltext und damit für jeden zugänglich der Zugriff auf den Writely-Account hat. Und selbst wenn die Daten aus irgendwelchen technischen Gründen an dieser Stelle gespeichert werden müssten, was aber mehr als unwahrscheinlich ist, könnten sie wenigstens verschlüsselt werden.
Ich hoffe dass Writely diesen Fehler schnellstens behebt und nicht noch andere Lecks dieser Art in den Untiefen der Software versteckt hat.
» Entdeckung bei Googlified
» Screenshot des Quelltextes
Nachtrag:
» Writely entfernt Passwort aus dem Quelltext
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Hallo, wäre es möglich, mir eine Writely-Einladung an meine E-Mail-Adresse zu senden? Würde mich riesig freuen!
Steffen
– Einladungen gibt im Board, drück ma halt ein Auge zu 🙂 –