Die Anwendungen in Google Docs bieten die Möglichkeit, Dokumente entweder öffentlich oder privat zu halten. Bei ersterem hat jeder der den Link kennt darauf Zugriff, bei privaten Dokumenten nur die User die explizit dazu eingeladen worden sind – denkt man zumindest! Wenn man die URL zur Einladung kennt die per eMail verschickt wird, dann kann man auch wildfremde Dokumente bearbeiten.
Lücke 1
Lädt man eine Person zum ansehen oder bearbeiten eines externen Dokuments ein, sendet Google Docs eine eMail an die angegebene Adresse. In dieser Mail ist nicht nur der Link zum Dokument selbst enthalten, sondern auch – in der URL – der Code mit dem das Dokument geöffnet werden kann – obwohl es privat ist. Gibt die eingeladene Person diesen Link nun weiter, kann jede beliebige Person auf das Dokument zugreifen und es eventuell auch verändern. Hat die (fremde) Person einmal auf das Dokument zugegriffen, erscheint das Dokument auch im eigenen Account und kann jederzeit wieder geöffnet werden – dann auch ohne Zugangscode.
—
Ob es sich dabei nun um eine Sicherheitslücke handelt oder es einfach technisch nicht anders machbar ist, muss diskutiert werden. Ich halte es für eine Lücke, könnte aber nicht sagen wie man es besser lösen soll. Bei Usern mit einem Google Account könnte man die Zugangsberechtigung sicherlich auch ohne den Code lösen – aber was ist mit all den externen die keinen G-Account haben oder nicht eingeloggt sind? Die können garnicht anders darauf zugreifen – der Code _muss_ also mitgeschickt werden.
Es ist also eine Sicherheitslücke die Google selbst in Kauf nimmt, da sie unumgänglich ist. Oder wie seht ihr das?
Lücke 2
Kommen wir gleich zur 2. Sicherheitslücke die auch ein bißchen aus der 1. resultiert: In der Docs-Übersicht wird nicht nur dem Ersteller sondern auch jeder anderen Person mit Zugriffsrechten angezeigt, welche Personen auf dieses Dokument schon zugegriffen haben. Unten verlinktes Dokument zeigt mir gleich eine ganze Latte von Personen an die das Dokument bisher geöffnet haben.
Die User werden in der Liste allerdings nicht nur mit ihrem Vornamen oder eMail-Adresse dargestellt, sondern mit dem Login ihres Google-Accounts. Aus dieser Liste kann ich jetzt von jeder Person die eMail-Adresse und eben den Namen des Google Accounts extrahieren. Ich komme so an eine Reihe von eMail-Adressen und kann Personen durch ihren Account eindeutig zuordnen. Man muss also nur ein entsprechendes Dokument in einem Forum veröffentlichen und schon bekommt man, sofern die User die darauf eingeloggt sind, massenhaft Adressen umsonst geliefert.
Man könnte z.B. auch das Dokument selbst als 0-Pixel-iframe in eine Webseite einbetten. Ich könnte z.B. ein privates Dokument erstellen, und das ganze dann, mit dem Einladungscode, in den GWB einbinden. Innerhalb kürzester Zeit hätte ich hunderte oder gar tausende Adressen von Google-Accounts inklusive der dazugehörigen eMail-Adresse.
—
Auch hier kann man wieder diskutieren ob es eine Lücke oder ein Feature ist. Einerseits kann jeder sich so massenhaft Daten beschaffen, aber andererseits sollte natürlich auch dargestellt werden mit welchen Usern man ein Dokument teilt. Vielleicht wäre es besser, wenn man nur Adressen anzeigt die der Autor explizit eingeladen hat.
» Privates Beispieldokument (Achtung! Wenn ihr das öffnet, landet ihr ebenfalls in der User-Liste)