Google Public Service Search
Nachdem Googles Public Service Search in den letzten Monaten durch eine schwere Sicherheitslücke eher negativ aufgefallen ist, reiht es sich in die Liste der Einstellungen ein. Damit verschwindet ein weiteres Angebot aus der Anfangszeit, als Google noch eine reine Suchmaschine gewesen ist, aus der Liste der Dienste. Zugegeben, die Einstellung des Public Service Search dürfte kein großer Verlust sein, aber es gab sicherlich so einige Bestandskunden die sich jetzt nach einer anderen Lösung umsehen müssen. Nachdem auch die Soap Search API eingestellt worden ist, kann man die Google-Suche jetzt nur noch über die AJAX Search API oder über die CSEs auf seine eigene Seite holen. Die Strategie von Google wird damit langsam klar, nachdem lange Zeit die Websuche auf viele Millionen Seiten ausgelagert worden ist, und es lediglich durch ein kleines "Powered by Google" als Google-Suche gekennzeichnet worden war, möchte Google "seine" User jetzt zurück haben. Durch die AJAX-Suche und die CSEs hat Google jetzt wieder direkt die Möglichkeit in das Design, die Auswertung und die Platzierung der Ergebnisse einzugreifen - und diese natürlich auch besser zu tracken. Der Nachfolger des Public Service Search sind die CSEs, zwar kündigt Google das nirgendwo an, aber beim Aufruf der Website wird man direkt zu Co-op weitergeleitet. [Googlified]
Seit vor knapp 3 Wochen eine gefälschte Login-Seite auf dem Google-Server aufgetaucht ist, steht das dazugehörige Angebot unter einer Registrationssperre. Die Lösung des Problems scheint wirklich nicht so einfach zu sein, zumindest nicht wenn es auf dem Google.com-Server liegt. Also hat Google entschieden das Angebot auf eine andere Domain auszulagern. Die neue Domain lautet GoogleSyndicatedSearch und wird in einigen Tagen den Public Search Service beinhalten. Auf diese Art und Weise ist es zwar immer noch möglich die Seite komplett zu fälschen - obwohl ich wetten könnte dass Google auch hieran noch werkeln wird - aber es kann nicht mehr auf die Cookies zugegriffen werden die für google.com abgelegt worden sind. Ich gebe zu, die Lösung ist einfach aber effizient. Trotzdem bleibt der fade Nachgeschmack einer Schwachstelle die Google wohl nicht so einfach umgehen kann - zumindest nicht wenn dem User nicht die Anpassungsoptionen entzogen werden. » GoogleSyndicatedSearch » Public Service Search [Google OS]
Google
Eine ebenso interessante wie erschreckende Sicherheitslücke ist jetzt auf dem Google-Server aufgetaucht. Unter der Adresse google.com/u/gplus befand sich bis vor wenigen Stunden eine Login-Page für das neue Google Mail Plus - vermeintlicherweise. Google Mail Plus existiert nicht, die Login Page leitet auf eine externe Webseite weiter die die Login-Daten anzeigt und zeigt so sehr eindrucksvoll wie einfach man an User-Daten kommen kann. Tja, aber wie funktioniert das ganze nun? Google Mail Plus
Zu aller erst: Die Login-Seite liegt tatsächlich auf dem Google-Server, es wird keine Weiterleitung oder ähnliches vorgenommen. Die Seite wurde mit Google Public Service Search erstellt, welche es erlaubt das Aussehen der Suchergebnisse ganz individuell an die eigene Webseite anzupassen. Dies war ursprünglich für Universitäten und Organisationen gedacht, hat aber auch alle anderen User aufgenommen. Dieses Angebot stammt noch aus der Zeit als Google eine reine Suchmaschine war und der Google Account nicht existierte. Das Problem liegt jetzt an der Anpassbarkeit dieser Suchergebnisse. Es können Header- und Footer-Code komplett frei geändert werden. Dies hat sich diese Seite zu Nutze gemacht und via JavaScript nach und nach die komplette Google-Suche entfernt und durch den eigenen Inhalt - eben jene Loginseite - ersetzt. Das gefährliche ist nun, dass diese Seite - da sie auf google.com liegt - auch Zugriff auf die Cookies hat, und somit, selbst ohne die Login-Daten des Users, den Google Account entführen und sich zu nutze machen könnte. Google hat das Problem mittlerweile erkannt, die Seite deaktiviert und das gesamte Public Service Search gleich mit heruntergefahren. Neue Registrierungen werden derzeit nicht angenommen und auch bestehen User können sich derzeit wieder einloggen noch Templates verändern. Die Suchfunktionalität ist aber weiterhin komplett gegeben. -- Tja, da muss Google aber wirklich aufpassen. Zum Glück wurden die Login-Daten von dem User der die Seite erstellt hat nicht gespeichert. Ein böswilliger Hacker hätte diese Adresse im Web verteilen, als neuen Google-Service ankündigen und so jede Menge Daten sammeln können. Der Reiz ein neues Google-Produkt als erster zu testen ist zu groß, als dass man auf die URL achten würde... » Stellungnahme im Google Webmaster Blog » Google Public Service Search » Diskussion bei Google Blogoscoped [Googlified] Nachtrag: » Lösung für das Public Service Search-Problem