Google
Das SafeBrowsing-Tool von Google soll unerfahrenen Benutzern dabei helfen nicht auf gefährliche Seiten hereinzufallen. Mittlerweile ist dieses Tool in die Google Toolbar integriert, und diese ist wiederum standardmäßig in den Firefox 2 integriert. Doch nun hat genau dieses Tool Zugangsdaten von Usern freigelegt... Die Toolbar-Version des Firefox hat eine Option, die es jedem Benutzer erlaubt eine Website an Google zur Überprüfung zu melden und damit andere User zu warnen. Diese Daten sind frei auf dem Google-Server in einer Blacklist verfügbar, soweit kein Problem, aber leider haben diese Daten auch teilweise Logindaten enthalten die die User sicherlich nicht übertragen wollten. So haben einige Benutzer beispielsweise die Funktion einfach einmal ausprobieren wollen und Google Mail als gefährliche Seite gemeldet, vielleicht haben sie auch nur die gerade angezeigte eMail gemeint, wie auch immer - ihre Daten wurden an den Server übertragen und waren damit für die ganze Welt sichtbar gewesen, mitsamt dem Login-Passwort. Ich weiß zwar nicht wie die Zugangsdaten in diese Liste kommen, da ja eigentlich nur die URL gemeldet wird, aber es ist schlimm genug dass Google an diese Möglichkeit nie gedacht hat und diese Liste dann auch noch frei auf dem Server lässt. Mittlerweile soll das Problem aber behoben und die Daten wieder sicher sein, na hoffentlich... » Artikel bei golem [thx to: Stefan2904]
Google
Ich könnte mir vorstellen dass es täglich mehrere hundert Versuche von irgendwelchen Deppen gibt die Domains google.com oder google.de zu registrieren oder einen Übernahmeantrag zu stellen. In 99% der Fälle wird sowas natürlich abgeblockt, aber ab und an scheint es dann doch einmal zu funktionieren - und so wurde im Laufe der heutigen Nacht Google.de entführt. Je nachdem auf welchem Fleck der Erde man sich gerade befindet (und wie aktuell die DNS-Liste des Providers ist) landet man bei der Eingabe von google.de auf der tatsächlichen Webseite von Google Deutschland, auf der amerikanischen Google.com-Webseite, oder auf die Homepage des Entführers Goneo.com, einem Webhoster. Bevor die Homepage von Goneo unter Google.de angezeigt wurde, wurde auch eine Zeit lang der bekannte Text
Für diese Domain wurden keine Inhalte hinterlegt. Bitte schauen Sie zu einem späteren Zeitpunkt nochmal vorbei...
angezeigt. Der Inhaber von Google.de scheint sich zur Zeit auch stündlich zu ändern, erst gehörte sie einem Martin Rusteberg aus Wiesbaden, dann Mario Micklisch und jetzt gehört es "favo" aus Wiesbaden - anscheinend ein Nickname (Seit wann darf man da Nicks verwenden?). Ich denke Google hat den Domainklau bereits bemerkt und wird die DENIC darüber informiert haben, aber bisher hat sich der WHOIS-Eintrag noch nicht geändert. Ich bin mal gespannt ob darüber noch weitere Details ans Tageslicht kommen werden, oder ob die Einträge still und heimlich wieder geändert werden - so als wenn nie etwas gewesen wäre... » Artikel bei der tagesschau » Artikel beim Barebonecenter [Google Blogoscoped]
Sicherheitslücke
Kaum zu glauben aber wahr: Innerhalb von 2 Wochen wurde jetzt eine dritte große Sicherheitslücke bei Google entdeckt. Nach dem ausspähen der Google Mail-Kontakte und dem Cookie-Klau via Blogger hat Haochi jetzt eine weitere Möglichkeit zum Cookie-Klau entdeckt. In Googles Sicherheitsabteilung dürften wohl bald einige Köpfe rollen... Angespornt von der ersten vor 2 Tagen bekannt gewordenen Sicherheitslücke hat sich Haochi von Googlified auf die Suche nach weiteren Möglichkeiten zum Cookie-Klau gemacht - natürlich im Dienste der Sicherheit, nicht um böswilliges damit anzustellen. Laut eigenen Aussagen hat er eine Möglichkeit gefunden das Google.com-Cookie mit nur 3 Zeilen PHP-Code zu klauen. Wie dieser Cookie-Klau genau funktioniert und welcher Dienst diesmal betroffen ist hat er natürlich noch nicht preisgegeben, dies folgt erst wenn das Google-Team den Fehler behoben hat. Ich denke aber dass es sich um AdSense oder Analytics handeln dürfte - eben ein Angebot mit dem man Google in die eigene Webseite integrieren kann. Ich könnte mir vorstellen dass es noch viele weitere offene Lücken im Google-Netzwerk gibt, die bisher nur noch nicht entdeckt worden sind und demnächst alle ans Tageslicht kommen. In der Sicherheitsabteilung sollte man sich in den nächsten Wochen also auf Überstunden einstellen und vielleicht ein wenig besser arbeiten... Was bei all diesen Sicherheitslücken so beunruhigend ist, ist die Tatsache dass sie alle sehr leicht reproduzierbar und sehr einfach gehalten sind - wer weiß wie viele schwerwiegende Lücken dann noch im System vorhanden sind. Ich bin mal gespannt wo die Lücke diesmal steckt - in einigen Tagen werden wir es erfahren. [Google Blogoscoped]
Blogger
Nachdem Google die Sicherheitslücke zum ausspähen des Cookies komplett geschlossen hat und nicht mehr reproduzierbar ist, hat Tony Ruscoe beschlossen die Lücke zu veröffentlichen. Die Angriffsstelle war das neue Custom Domain-Feature von Blogger, mit dessen Hilfe Tony eine Google-Subdomain praktisch entführt hat. Im Hilfeeintrag von Blogger wird die Subdomain ghs.google.com als Beispiel für die Einrichtung einer eigenen Domain genannt. Leider hat Google vergessen genau diesen Eintrag zu sperren, und dies hat ein User sich aus versehen zu Nutze gemacht. Um eine Domain komplett auf Blogger umzuleiten, muss ein Eintrag in der DNS-Tabelle vorgenommen werden, und genau dies wurde für ghs.google.com schon getan. Die Adresse ist jetzt also komplett eingerichtet, jetzt muss sie nur noch an Blogger gebunden und mit Content gefüllt werden. Ganz offiziell über das Custom-Domain-Interface hat Tony nun seinen Blog quasi auf ghs.google.com umgezogen, der Content kam zwar weiterhin von Blogger - aber für den Server lag der ganze Inhalt auf ghs.google.com, damit hatte Tony nun vollen Zugriff auf eine Blogger-Subdomain. Mit dem Besitz dieser Subdomain hatte Tony nun die Möglichkeit auf den Google-Cookie zuzugreifen und diese Informationen problemlos auszulesen. Blogger hat das Problem jetzt, eher unelegant, damit gelöst dass keine URLs mehr angenommen werden die auf "google.com" liegen. Das mag jetzt ganz gut dafür sein dass Googles Daten wieder sicher sind, aber das Hauptproblem ist noch lange nicht gelöst. Es gibt bisher keinen guten Weg herauszufinden ob der Blogger wirklich im Besitz der Domain ist. Hier muss noch eine Möglichkeit gefunden werden, evt. per Datei-Validierung wie es z.B. bei Sitemaps funktioniert. Hoffen wir dass es nicht noch weitere große Sicherheitslücken gibt die ein solches Ausspähen ermöglichen... » Sehr ausführliche Erklärung von Tony
Google Mail
Das neue Jahr hat für die Googler gleich mit einer riesigen Sicherheitslücke begonnen die alle eure Google Mail-Kontakte ausspähen konnte und immer noch kann. Den Ursprung hat das ganze mit der Entdeckung einer in der Entwicklung befindlichen API genommen, der Contacts API, welche zwar eine sehr gute Idee ist, aber derzeit noch ohne jede Sicherheitsbestimmung mit eMail-Adressen um sich wirft. Der erste Schritt, die Entdeckung der API, kam natürlich wieder einmal von Garett Rogers. Er hat eine Zeile im Google Video-Quellcode entdeckt, die auf einen neuen "Contact-Picker" hinweist. Schon länger ist es möglich, Videos an verschiedene eMail-Adressen weiterzuleiten, aber bisher musste man diese Adressen noch im Kopf haben oder von Google Mail abtippen. Mit dem neuen Feature wird man direkt aus den Google Mail-Kontakten auswählen können. Die Funktion selbst ist immer noch aktiv, nur liefert sie derzeit verständlicherweise keine Daten mehr zurück. Schaut euch dazu einfach irgendein Video bei Google Video an und tippt dann folgende Zeile in die Adressleiste:
javascript:handlePickerClick(0);void(0);
voila! Der Haken an der ganzen Sache ist ja nun, dass dieses Fenster die Daten irgendwo her bekommen muss - und genau da liegt das Problem. Bei fast jeder Subdomain eines Google-Dienstes hat vor einigen Tagen die URL subdomain.google.com/data/contacts eine vollständige XML-formatierte Liste der Google Mail-Kontakte zurückgeliefert. Bei einigen Angeboten, wie z.B. die Docs & Spreadsheets-Datei funktoniert dies immer noch und wird wohl von den Diensten dazu benutzt die Kontakt-Liste aufzubauen. Richtig los ging es jetzt aber erst, als Haochi von Googlified sich diese XML-Dateien vorgenommen, mit einem Skript geparst und dieses Skript online gestellt hat. Digg und Slashdot haben ihr übriges getan und den Googlern das Wochenende und die Neujahresfete vermiest. Da sie sich so schnell nicht zu helfen wussten, haben sie die Ausgabe der Kontakte jetzt bei den meisten Angeboten erst einmal abgestellt. Haochi hat das Security-Team von Google zwar vor der Veröffentlichung des Skripts informiert, aber leider nur 2 Stunden davor und in der Nacht des 31.12 - auch nicht die feine englische Art... Das Problem ist nun, dass einige Angebote die eMail-Adressen dringend brauchen und sich diese wohl immer auf diesem Wege geholt haben. Diese Sicherheitslücke muss jetzt schleunigst bei allen Angeboten geschlossen werden, sonst kann das noch böse Folgen haben und die Sicherheit von Google Mail noch weiter in Verruf geraten. Die Frage ist nur, wieso die Googler nicht selbst auf die Idee gekommen sind die Daten auf einem anderen Wege in die Anwendungen zu importieren wo sie benötigt werden. Haben sie einfach auf Gut Glück die Daten auf diesem Wege ausgelesen und gehofft dass es schon keiner rausfinden wird? Leicht fahrlässig... Hoffentlich baut die neue API nicht auf diesem Prinzip auf, sondern hat eine sicherere Möglichkeit der Übertragung - ansonsten können sie das ganze wegschmeißen und von vorne beginnen. Warum um diese ganze Sache nun so ein Wirbel gemacht wird ist natürlich verständlich. Zwar werden nur die Adressedaten der Kontakte angezeigt die zu dem dazugehörigen Google Mail-Account gehören mit dem man gerade eingeloggt ist, aber dies kann ganz leicht von Webmastern ausgelesen werden. Eine Webseite müsste nur im Hintergrund eben diese Seite öffnen, Google Mail liefert brav die Daten zurück, und der Webmaster kann diese Liste auslesen - ein Paradies für jeden Spammer, Millionen von existierenden eMail-Adressen. Hoffentlich bekommt Google die Probleme schnell in den Griff... Quellen, Links & weiterführende Artikel: » Docs & Spreadsheets-XML-Kontakte » Video-XML-Kontakte » Skript von Haochi » Entdeckung der API » Aufruf des Contact Picker » Google Mail-Kontaktliste » Veröffentlichung des Skripts » Problem teilweise gelöst » Zusammenfassung von Haochi » Bericht bei anty.at » Bericht bei heise Update: » Google Mail ContactPicker jetzt bei Google Video und Spreadsheets
Google
Während der Silvesterfeier im Googleplex haben die Mitarbeiter wohl einen falschen Stecker herausgezogen. Sowohl Googles Spielwiese Searchmash als auch der Google Calculator sind zur Zeit teilweise offline. Während Searchmash garnicht erreichbar ist, arbeitet der Calculator nur teilweise bis garnicht. Searchmash Zur Zeit leitet searchmash.com direkt auf sorry.searchmash.com um, aber zeigt keinen Content an. Auch direkte Suchanfragen über die URL leiten darauf weiter und geben eine leere Seite zurück. Das muss jetzt natürlich kein Problem sein, da Searchmash nie offiziell angekündigt wurde und weder Beta ist noch sonst irgendetwas. Es ist einfach eine Spielwiese die auch schnell wieder offline genommen werden kann. Ich denke es werden zur Zeit neue Features eingebaut und dann ist die Suchmaschine wieder zurück. Calculator Der Calculator hat eine Zeit lang nur bei sehr einfachen Additions- oder Subtraktionsaufgaben angeschlagen, aber bei Anfragen wie z.B. 100 meters in kilometer versagt. Mittlerweile funktioniert es wieder, aber bei einigen Landesdomains wie z .B. google.ca funktioniert das ganze immer noch nicht. Die Googler scheinen derzeit an der Erkennung von Suchanfragen zu arbeiten, da teilweise statt dem Calculator eine Archive Search-Onebox angezeigt wurde. Ich glaube die Oneboxen werden die Googler nochmal in den Wahnsinn treiben, da es einfach sehr schwierig ist zu erkennen was die User denn nun wirklich wissen wollen, und ihn nicht mit sinnlosen Boxen zu nerven. Ich bin gespannt wie es damit in diesem Jahr weitergehen wird - eine Veränderung MUSS es geben. [Google Blogoscoped: Searchmash, Calculator]
Google Mail
Google Mail dürfte in den letzten Tagen das Vertrauen von mindestens 60 Usern verloren haben: Aus einer bisher noch nicht komplett geklärten Ursache sind bei ca. 60 Usern alle eMails und Kontakte gelöscht worden und sie haben ihren Account komplett leer vorgefunden. Ein schuldiger ist auch schon gefunden worden: Der Firefox. Bisher konnten die Googler zumindest sicherstellen dass "nur" die Daten von den 60 Usern verloren gegangen sind und andere Accounts (bisher?) nicht betroffen sind. Offiziell hält man sich über die Grüne noch bedeckt, aber einige User haben herausgefunden dass es sehr wahrscheinlich an einem Fehler des Firefox 2.0 liegt, der in der Version 2.0.0.1 behoben ist. Ein Benutzer soll folgende Mail von Google erhalten haben:
This is not a mistake. All your emails and contacts have been deleted on purpose. This was a malicious attack and not an error. Have a nice day. =)
Ein bißchen Sarkasmus? "Have a nice Day without your Mails"... Die Googler haben folgende eMail an das TechChrunch-Team geschrieben:
Hi there TechCrunch folks, We saw your post today about Google Mail and wanted to let you know what was going on. Regretfully, a small number of our users ? around 60 ? lost some or all of their email received prior to December 18th. Once we found out about this issue, we worked day and night to confirm that only a few accounts were affected and to do whatever we could to restore as much of the users? accounts as we could. We?ve also reached out to the people who were affected to apologize and to work with them to restore the email from any personal backup they might have. We know how important Google Mail is to our users ? we use it ourselves for our corporate email. We have extensive safeguards in place to protect email stored with Google Mail and we are confident that this is a small and isolated incident. Thanks, Courtney
Bisher war es noch nicht möglich die Daten der User wiederherzustellen, da diese komplett von den Servern gelöscht worden sind, zumindest in den zugänglichen Bereichen. Die Daten sind ja nicht einfach so durch einen Fehler verloren gegangen, sondern der Google Mail-Server hat einfach einen Löschen-Befehl bekommen, den er natürlich brav ausgeführt hat. Shit Happens. Dazu hat mir auch folgender Kommentar gefallen:
We might say ?google should keep backups.? But then again, for a lot of things, we probably don?t want google to keep backups. The gubment can read backups, afterall. Data security vs. privacy is an intrinsic trade-off that people don?t seem to think of much yet.
Tja, vielleicht sollten wir nicht immer gleich auf die Barrikaden steigen wenn Google es wagt unsere Daten in Archiven abzuspeichern... [TechCrunch]
Homepage Translation
Da scheint sich wohl ein kleiner Übersetzungsfehler eingeschlichen zu haben... ;-) Um dieses Wunderwerk der modernen Überetzungstechnik zu sehen, müsst ihr die Personal Homepage öffnen, und dann in den Spracheinstellungen der Suche die beiden Sprachen "Arabic" und "Bulgarian" aktivieren. Dann kehrt zur Personal Homepage zurück und ihr könnt nach Regen und Schnee in Bulgarien suchen ;-) [Google Blogoscoped]
Google
Da hat sich Google soviel Mühe gegeben seine OneBoxen mit ein wenig Informationen auszustatten die dem User helfen könnten, und dann macht der Informationslieferant alles zunichte. Daten von Ländern rund um die Welt holt Google immer aus dem CIA World FactBook, welches online verfügbar ist. Leider hat dies jetzt seine Adresse geändert und die CIA-Admins sind nicht in der Lage eine Weiterleitung einzurichten. Die eigentlichen Informationen sind in der OneBox zwar noch vorhanden, und werden es wohl auch immer sein, aber der Link auf eben diese Information führt ins CIA-Nirvana und nicht zu der eigentlichen Seite die noch mehr Informationen über das betreffende Land enthält. Wirklich Schade. Google sollte seine Informationen lieber aus der Wikipedia holen, ich denke für so etwas ist sie zuverlässig genug. P.S. Die Zusammenarbeit ist dann wohl doch nicht so eng wie gedacht ;-) Beispiel: » Capital of Germany [Blogoscoped-Forum]