Google-Experte Tony Ruscoe hat über eine Sicherheitslücke im System eine Möglichkeit gefunden auf jeden beliebigen fremden Google-Account zuzugreifen und viele enthaltenen Informationen einzusehen oder gar zu verändern. Die Lücke ist mittlerweile behoben, aber wie Tony das genau angestellt hat verrät er nicht - nur soviel: Er musste nur seine Cookies austauschen. Die Zeit in der man einfach den Loginnamen in den eigenen Cookies durch den Loginnamen des Opfers ersetzen musste ist zwar schon lange vorbei, aber im Grunde hat Tony es auf eine ähnliche Art und Weise geschafft an den Account von Philipp Lenssen (als Beispiel, er war eingeweiht) heranzukommen. Anscheinend hat Tony also eine Möglichkeit gefunden auf den Google.com-Cookie zuzugreifen. Eine ähnliche Sicherheitslücke gab es vor einigen Monaten schon einmal. Damals wurden frei anpassbare Suchseiten auf Google.com gespeichert und abgerufen, so hatte die Webseite freien Zugriff auf die Cookies. Mit der Verlagerung auf eine andere Domain wurde dieses Problem aus der Welt geschafft, aber anscheinend gibt es immer noch eine Möglichkeit auf einer Google.com-Subdomain eigenen Content unterzubringen - aber Tony verrät nicht wo. Alles was er jetzt tun musste, ist ein kleines Skript zu basteln dass den Cookie des Besuchers ausliest und diese Daten an Tony sendet. Das muss der User im besten Fall garnicht merken - denn wenn Tony das Skript eine nett gestaltete Seite einbaut wird der User den Link im besten Falle sogar weitergeben und Tony kommt an Haufenweise Google-Accounts heran. Jetzt musste der Cookie von Tony nur noch durch den von Philipp ausgetauscht werden, und schon hatte er Zugriff auf folgende Dinge: » Voller Zugriff und alle Bearbeitungsrecht für Google Docs & Spreadsheets » Teilweise auslesen der eMails, durch das Google Mail-Modul für die Personal Homepage - auf Google Mail selbst war kein Zugriff möglich » Einblick in die Google Accounts-Seite » Voller Zugriff auf den Google Reader » Voller Zugriff auf das Google Notebook » Voller Zugriff auf den Suchverlauf Man kann Google jetzt zwar zugute halten dass die richtig sensiblen Daten wie eMails oder der Zugriff auf AdSense und AdWords nicht funktioniert hat, aber das ist auch nur ein schwacher Trost. Anscheinend verwendet Google kein einheitliches Loginsystem bei seinen Angeboten - sonst hätte der Cookie-Trick überall oder nirgendwo funktionieren dürfen. Und wieder einmal müssen wir uns die Frage stellen ob Google wirklich genügend dafür tut all unsere Daten zu schützen. Zwar wurde die Sicherheitslücke die für das auslesen des Cookies verantwortlich ist nach etwas weniger als 4 Stunden behoben - Rekordzeit - aber von selbst kam kein Googler darauf, oder hat sich zumindest nicht darum gekümmert. Ich denke Google wird einen ganzen Stab an Sicherheitsexperten beschäftigen - fragt sich nur was die den ganzen Tag lang machen... Aber so lange solche Bugs in windeseile behoben werden und nicht all zu häufig auftauchen wird die Einstellung "Eine Google.com-Seite, die ist sicher" vom Großteil der User beibehalten. » Google-Sicherheitslücken [Google Blogoscoped] Nachtrag: » Details zur Cookie-Sicherheitslücke
Tag: 13. Januar 2007
Google-Experte Tony Ruscoe hat über eine Sicherheitslücke im System eine Möglichkeit gefunden auf jeden beliebigen fremden Google-Account zuzugreifen und viele enthaltenen Informationen einzusehen oder gar zu verändern. Die Lücke ist mittlerweile behoben, aber wie Tony das genau angestellt hat verrät er nicht - nur soviel: Er musste nur seine Cookies austauschen. Die Zeit in der man einfach den Loginnamen in den eigenen Cookies durch den Loginnamen des Opfers ersetzen musste ist zwar schon lange vorbei, aber im Grunde hat Tony es auf eine ähnliche Art und Weise geschafft an den Account von Philipp Lenssen (als Beispiel, er war eingeweiht) heranzukommen. Anscheinend hat Tony also eine Möglichkeit gefunden auf den Google.com-Cookie zuzugreifen. Eine ähnliche Sicherheitslücke gab es vor einigen Monaten schon einmal. Damals wurden frei anpassbare Suchseiten auf Google.com gespeichert und abgerufen, so hatte die Webseite freien Zugriff auf die Cookies. Mit der Verlagerung auf eine andere Domain wurde dieses Problem aus der Welt geschafft, aber anscheinend gibt es immer noch eine Möglichkeit auf einer Google.com-Subdomain eigenen Content unterzubringen - aber Tony verrät nicht wo. Alles was er jetzt tun musste, ist ein kleines Skript zu basteln dass den Cookie des Besuchers ausliest und diese Daten an Tony sendet. Das muss der User im besten Fall garnicht merken - denn wenn Tony das Skript eine nett gestaltete Seite einbaut wird der User den Link im besten Falle sogar weitergeben und Tony kommt an Haufenweise Google-Accounts heran. Jetzt musste der Cookie von Tony nur noch durch den von Philipp ausgetauscht werden, und schon hatte er Zugriff auf folgende Dinge: » Voller Zugriff und alle Bearbeitungsrecht für Google Docs & Spreadsheets » Teilweise auslesen der eMails, durch das Google Mail-Modul für die Personal Homepage - auf Google Mail selbst war kein Zugriff möglich » Einblick in die Google Accounts-Seite » Voller Zugriff auf den Google Reader » Voller Zugriff auf das Google Notebook » Voller Zugriff auf den Suchverlauf Man kann Google jetzt zwar zugute halten dass die richtig sensiblen Daten wie eMails oder der Zugriff auf AdSense und AdWords nicht funktioniert hat, aber das ist auch nur ein schwacher Trost. Anscheinend verwendet Google kein einheitliches Loginsystem bei seinen Angeboten - sonst hätte der Cookie-Trick überall oder nirgendwo funktionieren dürfen. Und wieder einmal müssen wir uns die Frage stellen ob Google wirklich genügend dafür tut all unsere Daten zu schützen. Zwar wurde die Sicherheitslücke die für das auslesen des Cookies verantwortlich ist nach etwas weniger als 4 Stunden behoben - Rekordzeit - aber von selbst kam kein Googler darauf, oder hat sich zumindest nicht darum gekümmert. Ich denke Google wird einen ganzen Stab an Sicherheitsexperten beschäftigen - fragt sich nur was die den ganzen Tag lang machen... Aber so lange solche Bugs in windeseile behoben werden und nicht all zu häufig auftauchen wird die Einstellung "Eine Google.com-Seite, die ist sicher" vom Großteil der User beibehalten. » Google-Sicherheitslücken [Google Blogoscoped] Nachtrag: » Details zur Cookie-Sicherheitslücke
Aktienkurse sind ständigen Schwankungen ausgesetzt die nur selten vorherzusehen sind. So kann in wenigen Minuten schon einmal ein ganzes Vermögen verloren gehen, oder natürlich auch gewonnen werden - alles eine Frage des richtigen Timings. Damit dieses Timing auch möglichst sekundengenau ist, möchte Google die Aktienkurse von Finance demnächst sekündlich live aktualisieren. Online-Aktienkurse haben immer den Nachteil dass sie 15-20 Minuten alt sind, was im schlimmsten Fall sogar den Ruin bedeuten kann wenn man sich auf sie verlässt - so wird das Handeln mit Aktien zu einem noch verschärfterem Pokerspiel als wie es eh schon ist. Zwar gibt es Webseiten die die Kurse auch live anzeigen können, aber diese erfordern Logins und teilweise Bezahlung - die großen Anbieter wie Yahoo! Finance bieten weiterhin nur alte Daten. Um für Google Finance sekündlich neue Daten bereit stellen zu können hat Google entsprechende Vereinbarungen mit den großen Börsendatenlieferanten SEC, NYSE und NetCoalition eingegangen. Wann dieses Feature verfügbar ist wurde noch nicht genannt, aber ich denke dass es sich nur um Stunden oder wenige Tage handeln kann, da Google kein "Stay tuned" oder ähnliches an die Vorankündigung angeschlossen hat. Die Frage ist nur ob diese Daten dann auch für alle anderen Anbieter zur Verfügung stehen, denn in den Dokumenten der SEC die diesen Schritt ankündigungen wird der Name Google nicht einmal erwähnt - so als wenn es eine offizielle Änderung wäre von der jeder profitiert. Dann gilt nur noch das Prinzip des schnelleren, wer es als erstes umsetzt der wird die Kundenströme abbekommen ;-) » Vorankündigung im Google-Blog » Ankündigung der SEC
Für einige Keywords hat Google eine Neuigkeit in seine Suchergebnisse eingeführt: Umfasst ein Suchwort ein sehr großes Themengebiet, so versucht Google die Suchanfrage durch weitere Keywords zu verfeinern um dem User so leichter das gewünschte Ergebnis präsentieren zu können. Dabei handelt es sich um jeweils 8 Suchvorschläge unter den Suchergebnissen.
In den meisten Fällen handelt es sich bei diesen Vorschläge um einfache Erweiterungen des Suchbegriffs um ein weiteres Keyword, teilweise kommen aber auch ganz andere Suchworte zum Vorschein die auf den ersten Blick vielleicht nicht unbedingt mit dem gesuchten in Verbindung stehen. Ich denke Google ermittelt diese vorgeschlagenen Suchanfragen über einen Vergleich der Ergebnisliste und kann so mit sehr hoher Wahrscheinlichkeit sagen dass der Vorschlag durchaus relevant ist. Dass diese Vorschläge unter den Suchergebnissen, und nicht darüber, angezeigt werden finde ich sehr gut - denn da oben wird es langsam wirklich zu voll. Außerdem weiß der Benutzer ja erst nachdem er die ersten Suchergebnisse gesehen hat ob die Suchanfrage verfeinert werden muss oder nicht - eine Platzierung unterhalb der Ergebnisse ist also sinnvoll, zumindest wenn man sich nicht gerade 100 Ergebnisse pro Seite anzeigen lässt. Ausprobieren könnt ihr die Vorschläge mit Keywords wie philosophy, SOAP, blog und bass. Wie immer funktioniert das ganze nur in der amerikanischen Version, und wird wohl so schnell nicht auf den deutschen Markt portiert werden. [Google OS]
Einen Job bei Google zu ergattern ist der Lebenstraum von vielen IT-Experten, und von denen die es werden wollen. Das liegt nicht zuletzt daran dass Google der beste Arbeitgeber der Welt ist, sondern vielleicht auch daran dass man dort überdurchschnittlich gut verdienen kann. Oder wie ist es sonst möglich, dass jeder 10. Googler ein Millionär ist? In einem sehr ausführlichem Bericht über Google geht SFGate vorallem auf die Kronjuwelen des Unternehmens ein - seine Mitarbeiter. Derzeit arbeiten ca. 9400 Personen für Google - und 900 von ihnen sind mindestens 1-fache Millionäre die ihren Reichtum nur durch Google erlangt haben. Das dürfte daran liegen dass Mitarbeiter einige Aktienoptionen bekommen haben und so am Unternehmen mit beteiligt sind. Klingt nach Schall und Rauch, aber die Aktie hält sich seit Jahren wacker im Aufwärtstrend - immer noch eine lohnende Investition. Aber der Artikel beschäftigt sich nicht nur mit den Googlern, sondern auch mit den Xooglern - den Ex-Googlern. Warum sie das Unternehmen verlassen haben, was sie bei Google für Erfahrungen gesammelt haben und womit sie heute ihre Brötchen verdienen wird sehr ausführlich beleuchtet - das geht vom Studenten bis zur Chefetage, einmal Querbeet. Von den ersten 300 Mitarbeiter sind 100 mittlerweile nicht mehr bei Google beschäftigt. » Artikel bei SFGate » Google Jobs-Seite ;-) [thx to: Stefan2904]