Google Docs: 2 Sicherheitslücken oder 2 Features?

Docs
Die Anwendungen in Google Docs bieten die Möglichkeit, Dokumente entweder öffentlich oder privat zu halten. Bei ersterem hat jeder der den Link kennt darauf Zugriff, bei privaten Dokumenten nur die User die explizit dazu eingeladen worden sind – denkt man zumindest! Wenn man die URL zur Einladung kennt die per eMail verschickt wird, dann kann man auch wildfremde Dokumente bearbeiten.

Lücke 1
Lädt man eine Person zum ansehen oder bearbeiten eines externen Dokuments ein, sendet Google Docs eine eMail an die angegebene Adresse. In dieser Mail ist nicht nur der Link zum Dokument selbst enthalten, sondern auch – in der URL – der Code mit dem das Dokument geöffnet werden kann – obwohl es privat ist. Gibt die eingeladene Person diesen Link nun weiter, kann jede beliebige Person auf das Dokument zugreifen und es eventuell auch verändern. Hat die (fremde) Person einmal auf das Dokument zugegriffen, erscheint das Dokument auch im eigenen Account und kann jederzeit wieder geöffnet werden – dann auch ohne Zugangscode.

Ob es sich dabei nun um eine Sicherheitslücke handelt oder es einfach technisch nicht anders machbar ist, muss diskutiert werden. Ich halte es für eine Lücke, könnte aber nicht sagen wie man es besser lösen soll. Bei Usern mit einem Google Account könnte man die Zugangsberechtigung sicherlich auch ohne den Code lösen – aber was ist mit all den externen die keinen G-Account haben oder nicht eingeloggt sind? Die können garnicht anders darauf zugreifen – der Code _muss_ also mitgeschickt werden.
Es ist also eine Sicherheitslücke die Google selbst in Kauf nimmt, da sie unumgänglich ist. Oder wie seht ihr das?

Lücke 2
Kommen wir gleich zur 2. Sicherheitslücke die auch ein bißchen aus der 1. resultiert: In der Docs-Übersicht wird nicht nur dem Ersteller sondern auch jeder anderen Person mit Zugriffsrechten angezeigt, welche Personen auf dieses Dokument schon zugegriffen haben. Unten verlinktes Dokument zeigt mir gleich eine ganze Latte von Personen an die das Dokument bisher geöffnet haben.

Die User werden in der Liste allerdings nicht nur mit ihrem Vornamen oder eMail-Adresse dargestellt, sondern mit dem Login ihres Google-Accounts. Aus dieser Liste kann ich jetzt von jeder Person die eMail-Adresse und eben den Namen des Google Accounts extrahieren. Ich komme so an eine Reihe von eMail-Adressen und kann Personen durch ihren Account eindeutig zuordnen. Man muss also nur ein entsprechendes Dokument in einem Forum veröffentlichen und schon bekommt man, sofern die User die darauf eingeloggt sind, massenhaft Adressen umsonst geliefert.

Man könnte z.B. auch das Dokument selbst als 0-Pixel-iframe in eine Webseite einbetten. Ich könnte z.B. ein privates Dokument erstellen, und das ganze dann, mit dem Einladungscode, in den GWB einbinden. Innerhalb kürzester Zeit hätte ich hunderte oder gar tausende Adressen von Google-Accounts inklusive der dazugehörigen eMail-Adresse.


Auch hier kann man wieder diskutieren ob es eine Lücke oder ein Feature ist. Einerseits kann jeder sich so massenhaft Daten beschaffen, aber andererseits sollte natürlich auch dargestellt werden mit welchen Usern man ein Dokument teilt. Vielleicht wäre es besser, wenn man nur Adressen anzeigt die der Autor explizit eingeladen hat.

» Privates Beispieldokument (Achtung! Wenn ihr das öffnet, landet ihr ebenfalls in der User-Liste)

[smime, thx to: Helge]


Teile diesen Artikel:

comment ommentare zur “Google Docs: 2 Sicherheitslücken oder 2 Features?

  • Das erste Problem könnte man mit einem „Extra-Passwort“ lösen, dass nicht im Link direkt mitgeschickt wird, sondern im normalen E-Mail-Text. So könnte man den Link auch an andere Personen weiterleiten und nur das Passwort auch an Personen, die das Dokument auch bearbeiten (oder überhaupt öffnen) können sollten. Thema Rechteverwaltung.

    Oder hab ich da jetzt was falsch verstanden?

  • ich halt es auch für 2 Sicherheitslücken …
    aber eigendlich sollte man die zugangs-URL auch dennen geben den man vertrauen kann und die URL nicht weitergeben

  • für das problem 2… man könnte 2 getrennte browser verwenden – chrome für mail und apps – firefox zum surfen – und so vermeiden mit dem user eingelogged über ein dokument in einem iframe zu „stolpern“.

  • Also bei der „Lücke 1“ handelt es sich wohl um eine Sicherheitslücke.

    Dies könnte man relativ einfach beheben:
    Man müsste nur intern in einer Datenbank vermerken, ob der Link schon einmal angeklickt wurde. Wenn ja, dann führt ein nochmaliges Aufrufen nicht mehr zum Dokument. Problem gelöst.

    Die „Lücke 2“ ist ja mehr oder weniger eine Folge aus „Lücke 1“. Das die E-Mail Adresse angezeigt werden wäre (wenn Lücke 1 nicht existieren würde) gar kein Problem. Da ja sowieso nur Leute das Dokument sehen dürften, die du selber per E-Mail eingeladen hast.

  • Also bei mir tritt das auf wie bei Thomas. Ich kann ohne Account auf gar kein Dokument zugreifen. Dokument wohlgemerkt. Bei den Tabellen ist dies wohl etwas anders, da diese ja zum Beispiel durch öffentlichen Zugriff durch alle bearbeitet werden können wenn ich das richtig im Kopf habe.

    Aber bei einem Text! Dokument tritt die Lücke nicht auf. Da scheine ich ohne GMail, bzw. Google Account nicht drauf zugreifen zu können.

Kommentare sind geschlossen.