Ein Leser von Philipp Lenssens Blog hat eine kleine Sicherheitslücke in Googles Buchsuche gefunden, welche bisher aber kein großes Problem darstellt. Es ist wohl nur eine kleine Lücke, aber durch das weiterreichen einer URL ist man für kurze Zeit mit dem Benutzerkonto eines anderen Users eingeloggt.
Loggt man sich bei der Buchsuche ein, sucht nach einem Buch und kopiert diese URL, so befindet sich darin ein auth=XXXX. Wenn man diesen Link nun an einen anderen Benutzer weitergibt, ist dieser mit dem eigenen Benutzerkonto eingeloggt.
Man kann allerdings nicht anderes mit diesem Benutzernamen anstellen oder sich bei anderen Diensten einloggen, insofern besteht noch kein größeres Problem. Aber vielleicht können einige findige User doch eine größere Lücke daraus schlagen... Also am besten diesen Teil bei der Weitergabe einer URL entfernen.
Der auth-Parameter wird sicher so eine Art Session-ID sein, daher dürfte dieser Link nach einiger Zeit seine Gültigkeit verlieren.
[Google Blogoscoped]
Schlagwort: sicherheitslücke
Bislang war man es von Google-Software eigentlich gewohnt das sie komplett fehlerfrei arbeitet und eine bombensichere Festung vor Hackern und Phisern darstellt. Doch nun kommt ein Microsoft-Produkt ins Spiel, und schon wird Google-Desktop zur Software mit der offenen Tür.
Durch einen Bug im CSS-System des IE kann von außen auf den Inhalt des Desktop-Indexes zugegriffen werden. Da dieser auch eMails umfasst sind Benutzer besonders gefährdet, da viele ihre Zugangsdaten für die verschiedensten Webseiten in eMails gespeichert haben.
Ein Quellcode zum austesten dieser Sicherheitslücke ist im Internet verfügbar, es darf also damit gerechnet werden das in kürzester Zeit einige Viren auftauchen werden die genau auf diese Schwachstelle anspringen, und dem unbeholfenen User die Daten ausspioniert.
Bei Microsoft ist man sich zur Zeit keiner Schuld bewusst, obwohl man diesen Bug selbst verursacht hat. Von Google gab es bisher keine Stellungnahme, es darf aber davon ausgegangen werden das an einem Patch fleißig gearbeitet wird. Sollten Experten dazu raten die Desktop-Suche vorerst nicht zu verwenden, dürfte das ein großer Vertrauensverlust in Google-Software werden.
Paranoide Menschen könnten jetzt natürlich denken das Microsoft diese Sicherheitslücke nicht ganz unabsichtlich eingebaut hat, man denke an die damalige Geschichte von MS-DOS und Dr.Dos beim Windows3.1-Start...
[mehr bei: Computerworld]