Sicherheitslücke in Google Book Search

Ein Leser von Philipp Lenssens Blog hat eine kleine Sicherheitslücke in Googles Buchsuche gefunden, welche bisher aber kein großes Problem darstellt. Es ist wohl nur eine kleine Lücke, aber durch das weiterreichen einer URL ist man für kurze Zeit mit dem Benutzerkonto eines anderen Users eingeloggt.

Loggt man sich bei der Buchsuche ein, sucht nach einem Buch und kopiert diese URL, so befindet sich darin ein auth=XXXX. Wenn man diesen Link nun an einen anderen Benutzer weitergibt, ist dieser mit dem eigenen Benutzerkonto eingeloggt.

Man kann allerdings nicht anderes mit diesem Benutzernamen anstellen oder sich bei anderen Diensten einloggen, insofern besteht noch kein größeres Problem. Aber vielleicht können einige findige User doch eine größere Lücke daraus schlagen… Also am besten diesen Teil bei der Weitergabe einer URL entfernen.

Der auth-Parameter wird sicher so eine Art Session-ID sein, daher dürfte dieser Link nach einiger Zeit seine Gültigkeit verlieren.

[Google Blogoscoped]


Teile diesen Artikel: