Die Anwendungen in Google Docs bieten die Möglichkeit, Dokumente entweder öffentlich oder privat zu halten. Bei ersterem hat jeder der den Link kennt darauf Zugriff, bei privaten Dokumenten nur die User die explizit dazu eingeladen worden sind - denkt man zumindest! Wenn man die URL zur Einladung kennt die per eMail verschickt wird, dann kann man auch wildfremde Dokumente bearbeiten.
Lücke 1
Lädt man eine Person zum ansehen oder bearbeiten eines externen Dokuments ein, sendet Google Docs eine eMail an die angegebene Adresse. In dieser Mail ist nicht nur der Link zum Dokument selbst enthalten, sondern auch - in der URL - der Code mit dem das Dokument geöffnet werden kann - obwohl es privat ist. Gibt die eingeladene Person diesen Link nun weiter, kann jede beliebige Person auf das Dokument zugreifen und es eventuell auch verändern. Hat die (fremde) Person einmal auf das Dokument zugegriffen, erscheint das Dokument auch im eigenen Account und kann jederzeit wieder geöffnet werden - dann auch ohne Zugangscode.
--
Ob es sich dabei nun um eine Sicherheitslücke handelt oder es einfach technisch nicht anders machbar ist, muss diskutiert werden. Ich halte es für eine Lücke, könnte aber nicht sagen wie man es besser lösen soll. Bei Usern mit einem Google Account könnte man die Zugangsberechtigung sicherlich auch ohne den Code lösen - aber was ist mit all den externen die keinen G-Account haben oder nicht eingeloggt sind? Die können garnicht anders darauf zugreifen - der Code _muss_ also mitgeschickt werden.
Es ist also eine Sicherheitslücke die Google selbst in Kauf nimmt, da sie unumgänglich ist. Oder wie seht ihr das?
Lücke 2
Kommen wir gleich zur 2. Sicherheitslücke die auch ein bißchen aus der 1. resultiert: In der Docs-Übersicht wird nicht nur dem Ersteller sondern auch jeder anderen Person mit Zugriffsrechten angezeigt, welche Personen auf dieses Dokument schon zugegriffen haben. Unten verlinktes Dokument zeigt mir gleich eine ganze Latte von Personen an die das Dokument bisher geöffnet haben.
Die User werden in der Liste allerdings nicht nur mit ihrem Vornamen oder eMail-Adresse dargestellt, sondern mit dem Login ihres Google-Accounts. Aus dieser Liste kann ich jetzt von jeder Person die eMail-Adresse und eben den Namen des Google Accounts extrahieren. Ich komme so an eine Reihe von eMail-Adressen und kann Personen durch ihren Account eindeutig zuordnen. Man muss also nur ein entsprechendes Dokument in einem Forum veröffentlichen und schon bekommt man, sofern die User die darauf eingeloggt sind, massenhaft Adressen umsonst geliefert.
Man könnte z.B. auch das Dokument selbst als 0-Pixel-iframe in eine Webseite einbetten. Ich könnte z.B. ein privates Dokument erstellen, und das ganze dann, mit dem Einladungscode, in den GWB einbinden. Innerhalb kürzester Zeit hätte ich hunderte oder gar tausende Adressen von Google-Accounts inklusive der dazugehörigen eMail-Adresse.
--
Auch hier kann man wieder diskutieren ob es eine Lücke oder ein Feature ist. Einerseits kann jeder sich so massenhaft Daten beschaffen, aber andererseits sollte natürlich auch dargestellt werden mit welchen Usern man ein Dokument teilt. Vielleicht wäre es besser, wenn man nur Adressen anzeigt die der Autor explizit eingeladen hat.
» Privates Beispieldokument (Achtung! Wenn ihr das öffnet, landet ihr ebenfalls in der User-Liste)
[smime, thx to: Helge]
Verfasst von Jens am 23. Dezember 2008, 06:45 Uhr | 2009 mal gelesen
Kategorie: Weiteres, Google Docs Tags: sicherheitslücke, google docs
Kategorie: Weiteres, Google Docs Tags: sicherheitslücke, google docs
Trackbacks / Pingbacks / Links: (2) 
(Klicken zum ausklappen)
(Klicken zum ausklappen)
7 Kommentare:
ich halt es auch für 2 Sicherheitslücken ...
aber eigendlich sollte man die zugangs-URL auch dennen geben den man vertrauen kann und die URL nicht weitergeben
» Antworten
aber eigendlich sollte man die zugangs-URL auch dennen geben den man vertrauen kann und die URL nicht weitergeben
» Antworten
Ich habe das eben einmal getestet. Als Nutzer der nicht in Apps eingelogged ist kann ich den verschickten link nicht öffnen. Ich werde zum Anlegen eines accounts aufgefordert.
Bin ich als Gmail-User eingelogged kann ich den Link nur dann öffnen, wenn ich dediziert die rechte dazu habe. Nimt mir der Dokumenten-Besitzer die rechte wieder weg, ehe ich die Datei dupliziert habe, ist sie für mich nicht mehr bearbeitbar. Also irgendetwas ist mir bei der Bug-Beschreibung entgangen.
Wer Firmeninterne Dokumente mit außenstehenden shared ist selbst schuld. Diese können jederzeit nach dem Prinzip von McCopy 'n D.Stribute verteilt werden. Kaum eine Firma nutzt Office-Dokumente die intern schon zur Kolaboration verwendet wurden zur Kommunikation mit außenstehenden - alleine schon wegen der Daten-Reste im Dokument wäre das bedenklich. Dafür gibt es PDFs. Für die Premiere-Apps gibt es aber auch die Möglichkeit Dokumenten-Sharing einzuschränken.
» Antworten
Bin ich als Gmail-User eingelogged kann ich den Link nur dann öffnen, wenn ich dediziert die rechte dazu habe. Nimt mir der Dokumenten-Besitzer die rechte wieder weg, ehe ich die Datei dupliziert habe, ist sie für mich nicht mehr bearbeitbar. Also irgendetwas ist mir bei der Bug-Beschreibung entgangen.
Wer Firmeninterne Dokumente mit außenstehenden shared ist selbst schuld. Diese können jederzeit nach dem Prinzip von McCopy 'n D.Stribute verteilt werden. Kaum eine Firma nutzt Office-Dokumente die intern schon zur Kolaboration verwendet wurden zur Kommunikation mit außenstehenden - alleine schon wegen der Daten-Reste im Dokument wäre das bedenklich. Dafür gibt es PDFs. Für die Premiere-Apps gibt es aber auch die Möglichkeit Dokumenten-Sharing einzuschränken.
» Antworten
für das problem 2... man könnte 2 getrennte browser verwenden - chrome für mail und apps - firefox zum surfen - und so vermeiden mit dem user eingelogged über ein dokument in einem iframe zu "stolpern".
» Antworten
» Antworten
Also bei der "Lücke 1" handelt es sich wohl um eine Sicherheitslücke.
Dies könnte man relativ einfach beheben:
Man müsste nur intern in einer Datenbank vermerken, ob der Link schon einmal angeklickt wurde. Wenn ja, dann führt ein nochmaliges Aufrufen nicht mehr zum Dokument. Problem gelöst.
Die "Lücke 2" ist ja mehr oder weniger eine Folge aus "Lücke 1". Das die E-Mail Adresse angezeigt werden wäre (wenn Lücke 1 nicht existieren würde) gar kein Problem. Da ja sowieso nur Leute das Dokument sehen dürften, die du selber per E-Mail eingeladen hast.
» Antworten
Dies könnte man relativ einfach beheben:
Man müsste nur intern in einer Datenbank vermerken, ob der Link schon einmal angeklickt wurde. Wenn ja, dann führt ein nochmaliges Aufrufen nicht mehr zum Dokument. Problem gelöst.
Die "Lücke 2" ist ja mehr oder weniger eine Folge aus "Lücke 1". Das die E-Mail Adresse angezeigt werden wäre (wenn Lücke 1 nicht existieren würde) gar kein Problem. Da ja sowieso nur Leute das Dokument sehen dürften, die du selber per E-Mail eingeladen hast.
» Antworten
Also bei mir tritt das auf wie bei Thomas. Ich kann ohne Account auf gar kein Dokument zugreifen. Dokument wohlgemerkt. Bei den Tabellen ist dies wohl etwas anders, da diese ja zum Beispiel durch öffentlichen Zugriff durch alle bearbeitet werden können wenn ich das richtig im Kopf habe.
Aber bei einem Text! Dokument tritt die Lücke nicht auf. Da scheine ich ohne GMail, bzw. Google Account nicht drauf zugreifen zu können.
» Antworten
Aber bei einem Text! Dokument tritt die Lücke nicht auf. Da scheine ich ohne GMail, bzw. Google Account nicht drauf zugreifen zu können.
» Antworten
 |  |
Aktivitäten
Navigation
Content
Friend Connect
Verlinkungen
Werbung
23. Dezember 2008, 09:28 Uhr
Oder hab ich da jetzt was falsch verstanden?
» Antworten