Google Mail
Das neue Jahr hat für die Googler gleich mit einer riesigen Sicherheitslücke begonnen die alle eure Google Mail-Kontakte ausspähen konnte und immer noch kann. Den Ursprung hat das ganze mit der Entdeckung einer in der Entwicklung befindlichen API genommen, der Contacts API, welche zwar eine sehr gute Idee ist, aber derzeit noch ohne jede Sicherheitsbestimmung mit eMail-Adressen um sich wirft. Der erste Schritt, die Entdeckung der API, kam natürlich wieder einmal von Garett Rogers. Er hat eine Zeile im Google Video-Quellcode entdeckt, die auf einen neuen "Contact-Picker" hinweist. Schon länger ist es möglich, Videos an verschiedene eMail-Adressen weiterzuleiten, aber bisher musste man diese Adressen noch im Kopf haben oder von Google Mail abtippen. Mit dem neuen Feature wird man direkt aus den Google Mail-Kontakten auswählen können. Die Funktion selbst ist immer noch aktiv, nur liefert sie derzeit verständlicherweise keine Daten mehr zurück. Schaut euch dazu einfach irgendein Video bei Google Video an und tippt dann folgende Zeile in die Adressleiste:
javascript:handlePickerClick(0);void(0);
voila! Der Haken an der ganzen Sache ist ja nun, dass dieses Fenster die Daten irgendwo her bekommen muss - und genau da liegt das Problem. Bei fast jeder Subdomain eines Google-Dienstes hat vor einigen Tagen die URL subdomain.google.com/data/contacts eine vollständige XML-formatierte Liste der Google Mail-Kontakte zurückgeliefert. Bei einigen Angeboten, wie z.B. die Docs & Spreadsheets-Datei funktoniert dies immer noch und wird wohl von den Diensten dazu benutzt die Kontakt-Liste aufzubauen. Richtig los ging es jetzt aber erst, als Haochi von Googlified sich diese XML-Dateien vorgenommen, mit einem Skript geparst und dieses Skript online gestellt hat. Digg und Slashdot haben ihr übriges getan und den Googlern das Wochenende und die Neujahresfete vermiest. Da sie sich so schnell nicht zu helfen wussten, haben sie die Ausgabe der Kontakte jetzt bei den meisten Angeboten erst einmal abgestellt. Haochi hat das Security-Team von Google zwar vor der Veröffentlichung des Skripts informiert, aber leider nur 2 Stunden davor und in der Nacht des 31.12 - auch nicht die feine englische Art... Das Problem ist nun, dass einige Angebote die eMail-Adressen dringend brauchen und sich diese wohl immer auf diesem Wege geholt haben. Diese Sicherheitslücke muss jetzt schleunigst bei allen Angeboten geschlossen werden, sonst kann das noch böse Folgen haben und die Sicherheit von Google Mail noch weiter in Verruf geraten. Die Frage ist nur, wieso die Googler nicht selbst auf die Idee gekommen sind die Daten auf einem anderen Wege in die Anwendungen zu importieren wo sie benötigt werden. Haben sie einfach auf Gut Glück die Daten auf diesem Wege ausgelesen und gehofft dass es schon keiner rausfinden wird? Leicht fahrlässig... Hoffentlich baut die neue API nicht auf diesem Prinzip auf, sondern hat eine sicherere Möglichkeit der Übertragung - ansonsten können sie das ganze wegschmeißen und von vorne beginnen. Warum um diese ganze Sache nun so ein Wirbel gemacht wird ist natürlich verständlich. Zwar werden nur die Adressedaten der Kontakte angezeigt die zu dem dazugehörigen Google Mail-Account gehören mit dem man gerade eingeloggt ist, aber dies kann ganz leicht von Webmastern ausgelesen werden. Eine Webseite müsste nur im Hintergrund eben diese Seite öffnen, Google Mail liefert brav die Daten zurück, und der Webmaster kann diese Liste auslesen - ein Paradies für jeden Spammer, Millionen von existierenden eMail-Adressen. Hoffentlich bekommt Google die Probleme schnell in den Griff... Quellen, Links & weiterführende Artikel: » Docs & Spreadsheets-XML-Kontakte » Video-XML-Kontakte » Skript von Haochi » Entdeckung der API » Aufruf des Contact Picker » Google Mail-Kontaktliste » Veröffentlichung des Skripts » Problem teilweise gelöst » Zusammenfassung von Haochi » Bericht bei anty.at » Bericht bei heise Update: » Google Mail ContactPicker jetzt bei Google Video und Spreadsheets
Google
Während der Silvesterfeier im Googleplex haben die Mitarbeiter wohl einen falschen Stecker herausgezogen. Sowohl Googles Spielwiese Searchmash als auch der Google Calculator sind zur Zeit teilweise offline. Während Searchmash garnicht erreichbar ist, arbeitet der Calculator nur teilweise bis garnicht. Searchmash Zur Zeit leitet searchmash.com direkt auf sorry.searchmash.com um, aber zeigt keinen Content an. Auch direkte Suchanfragen über die URL leiten darauf weiter und geben eine leere Seite zurück. Das muss jetzt natürlich kein Problem sein, da Searchmash nie offiziell angekündigt wurde und weder Beta ist noch sonst irgendetwas. Es ist einfach eine Spielwiese die auch schnell wieder offline genommen werden kann. Ich denke es werden zur Zeit neue Features eingebaut und dann ist die Suchmaschine wieder zurück. Calculator Der Calculator hat eine Zeit lang nur bei sehr einfachen Additions- oder Subtraktionsaufgaben angeschlagen, aber bei Anfragen wie z.B. 100 meters in kilometer versagt. Mittlerweile funktioniert es wieder, aber bei einigen Landesdomains wie z .B. google.ca funktioniert das ganze immer noch nicht. Die Googler scheinen derzeit an der Erkennung von Suchanfragen zu arbeiten, da teilweise statt dem Calculator eine Archive Search-Onebox angezeigt wurde. Ich glaube die Oneboxen werden die Googler nochmal in den Wahnsinn treiben, da es einfach sehr schwierig ist zu erkennen was die User denn nun wirklich wissen wollen, und ihn nicht mit sinnlosen Boxen zu nerven. Ich bin gespannt wie es damit in diesem Jahr weitergehen wird - eine Veränderung MUSS es geben. [Google Blogoscoped: Searchmash, Calculator]
Google Mail
Seit dem 1. Geburtstag von Google Mail am 1. April 2005 hat sich der Speicherplatz um täglich 0,33 MB pro User erhöht. Mit diesem kleinen Feature, das natürlich auch mit einem Live-Countup auf der Startseite beworben wird gibt Google Mail dem User das Gefühl das der Speicherplatz wirklich unbegrenzt ist. Aber seit gestern läuft der Counter nicht mehr, er ist einfach bei 2.800 MB stehen geblieben - Versehen oder geplant? Die Anzeige des Speicherplatzes ist natürlich nicht wirklich live. Der Counter läuft einfach mit einem kleinen Javascript nach oben, der verfügbare Speicherplatz muss also nicht immer mit der wirklichen Kapazität überein stimmen. Daher ist der stehen gebliebene Counter nicht unbedingt ein Hinweis darauf dass Google Mail seinen Usern nicht noch mehr Speicherplatz geben will. Dafür spricht auch, dass Google den Counter wohl eher bei 3.000 MB als bei 2.800 MB angehalten hätte, das klingt einfach besser. Ich denke sie haben einfach vergessen das JavaScript auf der Seite zu aktualisieren und Y2K7-fähig zu machen. Die Googler dürfen ja auch einmal Urlaub machen ;-) » Artikel bei Googlified [thx to: Gregor Best]
Google + Wikipedia
Bei sehr vielen Suchanfragen wird die Wikipedia ganz oben in den Suchergebnissen angezeigt und der dazugehörige Wikipedia-Artikel beinhaltet alle Informationen die man braucht. Da Google die Wikipedia bisher noch nicht zufriedenstellend in seine Suchergebnisse integriert hat, gibt es jetzt ein Firefox-Plugin dass diese Aufgabe übernimmt. Es hat zwar einige Macken, funktioniert aber ansonsten sehr gut. Ist das Plugin Googlepedia einmal installiert sind die Suchergebnisse erst einmal frei von AdWords-Anzeigen. Im besten Falle wird der ungenutzte Platz dann mit dem gleichnamigen Wikipedia-Artikel zum Suchbegriff aufgefüllt. Das funktioniert in den meisten Fällen sehr gut, wie folgender Screenshot zeigt: Screenshot - Googlepedia
Der Artikel kann, wenn er nicht gebraucht wird, mit einem Klick ausgeblendet werden. Er kann aber auch auf die ganze Seite ausgedehnt werden, so dass die Suchergebnisse ganz nach unten unter den Artikel wandern. Alle Links die in einem Artikel enthalten sind, werden dahingehend verändert dass sie mit einer Google-Anfrage verbunden werden. So wird einerseits wieder der Wikipedia-Artikel angezeigt, als auch nebenan in den Suchergebnissen weiterführende Informationen - eine sehr gute Idee. Leider gibt es aber auch ein kleines Problemchen mit der Integration. Die AdWords-Anzeigen werden, wie schon gesagt nur ersetzt. Das bedeutet, wenn keine Anzeigen neben den Suchergebnissen angezeigt werden, wird auch kein Wikipedia-Artikel ange zeigt. Das Plugin funktioniert also nur mit prominenten Keywords auf denen irgendjemand Anzeigen geschaltet hat, was die Funktionalität schon sehr einschränkt. Ansonsten funktioniert aber alles problemlos. Wer es braucht und eh Wikipedia fast schon als Standardsuchmaschine benutzt, kann das Plugin ja einmal ausprobieren. Ich persölich habe es wieder deaktiviert. » Plugin installieren [thx to: nbwolf] Nachtrag: Ich sehe gerade dass ich darüber schon einmal berichtet habe... egal, doppelt hält besser :-)
Google Maps API
Laut einer, zugegeben nicht sehr aussagekräftigen, Statistik ist die Google Maps API mit sehr großem Abstand die derzeit beliebteste API. Auf sage und schreibe 51% Marktanteil aller APIs kann das Maps-Team Stolz sein. YouTube, als einziges weiteres Google-Angebot in der Statistik, kommt nur auf einen Anteil von 4%. Die Statistik wurde von der Webseite ProgrammableWeb erhoben, die im letzten Jahr 1.404 Mashups und API-Beispiele in ihrem Blog vorgestellt hat. Dass die Maps hier einen so großen Vorsprung haben dürfte daran liegen dass die Konkurrenz auf diesem Sektor noch nicht wirklich groß ist aber das Thema Georeferenzierung im vergangenen Jahr immer mehr an Bedeutung gewonnen hat. 45% aller vorgestellten Mashups haben sich mit dem Thema Mapping beschäftigt, und so lange MSN und Yahoo! hier keine vernünftige Alternative zu den Google Maps anzubieten haben wird Google die Marktführerschaft hier noch lange behalten. » Statistik bei ProgrammableWeb [Googlified]