
Schlagwort: sicherheitslücke


Mit Hilfe der Auf Gut Glück Funktion können Spammer Links zu Malware-verseuchten Webseiten ganz einfach als Google Link tarnen. Ruft man http://www.google.de/search?hl=de&q=%22Google+Mail%22 kommt man wie gewünscht zu den Suchergebnissen bei Google. Durch eine kleine Veränderung an der URL http://www.google.de/search?btnI&hl=de&q=%22Google+Mail%22 wird man direkt aufs erste Suchergebnis geleitet. Die einzige Veränderung an der URL ist btnI. Spammer können durch einen unsinnigen Suchbegriff wie zum Beispiel "googlismus" gezielt ihre Seite ein erste Position setzen. Nachdem anfangs die Meldung kommt, dass zur Suchanfrage keine Dokumente gefunden wurden (wird mit diesem Begriff auch erst so sein), wird nach dem Besuch des Google Bots dieser Artikel bei diesem Suchbegriff an erster Position stehen. Um zu verhindern das andere Seiten davor liegen kann man durch das Parameter site:googlewatchblog.de dafür sorgen, dass der Link in der Spam auch an ersten Position bliebt. Beim Aufruf eines solchen unscheinbaren Googlelinks verbirgt sich vielleicht eine Seite die aktuelle Schwachstellen im Browser ausnutzt um schadhafte Codes auf dem PC zu installieren. Das funktioniert aber nicht nur mit dem Auf Gut Glück Button, auch mit dem Firefox. ruft man mit dem Firefox eine Seite auf, die nicht gefunden wird, sucht der Browser automatisch mit Hilfe von Google. Der Aufruf der Seite erfolgt nach diesem Muster http://www.google.com/search?sourceid=navclient&gfns=1&q=






Die neue Slideshow-Funktion der Picasa Web Albums hat eine Sicherheitslücke und zeigt, wie schon öfter bei den Web Albums passiert, auch private Galerien an. Wird eine Slideshow einmal in eine Webseite eingebunden, ist diese auch noch sichtbar wenn die eigentliche Galerie versteckt bzw. der Status auf "Privat" gesetzt wird. Bleibt nun die Frage: Is it a bug or a Feature? Es mag sein dass es für einige ganze praktisch ist wenn sie ihre nicht für die Öffentlichkeit bestimmte Galerie auch auf bestimmten Webseiten als Slideshow einbinden können, aber für mich ist das ganze eindeutig eine Sicherheitslücke. Anscheinend behält Google den Feed der betreffenden Galerie noch eine Weile im Cache und kann so weiterhin auf die eigentlich versteckten Fotos zugreifen. Na dann mal an die Arbeit ihr Googler ;-) [Zerstoiber]

AUWEIA! Da hat Google aber einen richtigen Bock geschossen: wer bisher dachte dass Dateien und Webseiten die bei den Google Pages hochgeladen oder erstellt worden sind nicht von der ganzen Welt gesehen werden können irrt sich ganz gewaltig. Jede Webseite hat bei Google eine eigene Sitemap in der alle hochgeladenen Dateien aufgelistet und so für jedermann zugänglich sind. Um zu sehen welche Dateien auf einem Google Pages-Account liegen muss man einfach nur die URL
http://website.googlepages.com/sitemap.xmlaufrufen und schon bekommt man eine schöne Liste aller erstellten Webseiten und hochgeladenen Webseiten präsentiert - und das ohne irgendeine Prüfung der Zugangsberechtigung. Ich habe bei den Google Pages auch schon private Webseiten erstellt die nicht unbedingt die ganze Welt sehen sollte und musste dann vorhin mit erschrecken feststellen dass die garnicht so unsichtbar sind wie ich dachte - natürlich hatte ich Dokumentnamen vergeben auf die niemand kommt - aber wenn die Liste so öffentlich präsentiert wird ist das natürlich kein großes Hindernis mehr. Also habe ich die betreffenden Seiten gelöscht bzw. unpublished. Wer also private Dinge bei den Google Pages hostet sollte diese sofort löschen bzw. unpublishen. Durch den Eintrag in der Sitemap ist es nämlich auch nur eine Frage der Zeit bis die Dateien und Dokumente in den 4 großen Suchmaschinen die das Sitemap-Protokoll unterstützen auftauchen. P.S. Ein RSS-Feed aller Webseiten bieten die Pages übrigens auch an:
http://website.googlepages.com/rss.xmlAlso für mich hat sich das Thema Page Creator damit erledigt... zumindest zum hosten von Dateien. Es ist eine Frechheit dass Google so etwas nicht vorher ankündigt und die User davor warnt... [Google OS]