Google Mail
Der Google Mail ContactPicker, der anfang des Jahres großen Wirbel durch eine Sicherheitslücke ausgelöst hat, ist jetzt fest in Google Video integriert worden. Mit dem ContactPicker lässt sich direkt auf das Adressbuch von Google Mail zugreifen, mitsamt der Gruppierung und Suche nach Kontakten. Google Mail ContactPicker
Die meisten Google-Dienste greifen zwar schon auf die Google Mail-Kontakte zu, etwa wenn ein Dokument oder eine Galerie per Mail verschickt werden soll, aber bisher hat sich das ganze auf eine einfache Liste bei der Eingabe der Adresse beschränkt. Mit dem ContactPicker wandert das komplette Adressbuch in die externe Anwendung und es wird jetzt sehr viel einfacher einen oder mehrere Kontakte auszuwählen. Es lassen sich auch direkt aus dem Kontaktfenster neue Gruppen erstellen die dann natürlich auch für das Google Mail-Adressbuch übernommen werden. So kann man etwa ein neues Dokument erstellen, bestimmte User einladen und diese gleich zu einer Gruppe hinzufügen. Für weitere Diskussionen kann man dann aus Google Mail heraus direkt an diese Gruppe schreiben und hat mit wenigen Klicks alle Kontakte wieder beisammen. Wirklich eine sehr nützliche Neuerung, die derzeit aber nur bei Google Video und Spreadsheets integriert ist. Alle anderen Dienste nutzen weiterhin das Menü unter dem Eingabefeld. Ich denke aber dass nach der ersten Testphase, die einige Wochen laufen dürfte, der ContactPicker nach und nach in alle Dienste integriert wird. [Google OS]
Google Mail
Das neue Jahr hat für die Googler gleich mit einer riesigen Sicherheitslücke begonnen die alle eure Google Mail-Kontakte ausspähen konnte und immer noch kann. Den Ursprung hat das ganze mit der Entdeckung einer in der Entwicklung befindlichen API genommen, der Contacts API, welche zwar eine sehr gute Idee ist, aber derzeit noch ohne jede Sicherheitsbestimmung mit eMail-Adressen um sich wirft. Der erste Schritt, die Entdeckung der API, kam natürlich wieder einmal von Garett Rogers. Er hat eine Zeile im Google Video-Quellcode entdeckt, die auf einen neuen "Contact-Picker" hinweist. Schon länger ist es möglich, Videos an verschiedene eMail-Adressen weiterzuleiten, aber bisher musste man diese Adressen noch im Kopf haben oder von Google Mail abtippen. Mit dem neuen Feature wird man direkt aus den Google Mail-Kontakten auswählen können. Die Funktion selbst ist immer noch aktiv, nur liefert sie derzeit verständlicherweise keine Daten mehr zurück. Schaut euch dazu einfach irgendein Video bei Google Video an und tippt dann folgende Zeile in die Adressleiste:
javascript:handlePickerClick(0);void(0);
voila! Der Haken an der ganzen Sache ist ja nun, dass dieses Fenster die Daten irgendwo her bekommen muss - und genau da liegt das Problem. Bei fast jeder Subdomain eines Google-Dienstes hat vor einigen Tagen die URL subdomain.google.com/data/contacts eine vollständige XML-formatierte Liste der Google Mail-Kontakte zurückgeliefert. Bei einigen Angeboten, wie z.B. die Docs & Spreadsheets-Datei funktoniert dies immer noch und wird wohl von den Diensten dazu benutzt die Kontakt-Liste aufzubauen. Richtig los ging es jetzt aber erst, als Haochi von Googlified sich diese XML-Dateien vorgenommen, mit einem Skript geparst und dieses Skript online gestellt hat. Digg und Slashdot haben ihr übriges getan und den Googlern das Wochenende und die Neujahresfete vermiest. Da sie sich so schnell nicht zu helfen wussten, haben sie die Ausgabe der Kontakte jetzt bei den meisten Angeboten erst einmal abgestellt. Haochi hat das Security-Team von Google zwar vor der Veröffentlichung des Skripts informiert, aber leider nur 2 Stunden davor und in der Nacht des 31.12 - auch nicht die feine englische Art... Das Problem ist nun, dass einige Angebote die eMail-Adressen dringend brauchen und sich diese wohl immer auf diesem Wege geholt haben. Diese Sicherheitslücke muss jetzt schleunigst bei allen Angeboten geschlossen werden, sonst kann das noch böse Folgen haben und die Sicherheit von Google Mail noch weiter in Verruf geraten. Die Frage ist nur, wieso die Googler nicht selbst auf die Idee gekommen sind die Daten auf einem anderen Wege in die Anwendungen zu importieren wo sie benötigt werden. Haben sie einfach auf Gut Glück die Daten auf diesem Wege ausgelesen und gehofft dass es schon keiner rausfinden wird? Leicht fahrlässig... Hoffentlich baut die neue API nicht auf diesem Prinzip auf, sondern hat eine sicherere Möglichkeit der Übertragung - ansonsten können sie das ganze wegschmeißen und von vorne beginnen. Warum um diese ganze Sache nun so ein Wirbel gemacht wird ist natürlich verständlich. Zwar werden nur die Adressedaten der Kontakte angezeigt die zu dem dazugehörigen Google Mail-Account gehören mit dem man gerade eingeloggt ist, aber dies kann ganz leicht von Webmastern ausgelesen werden. Eine Webseite müsste nur im Hintergrund eben diese Seite öffnen, Google Mail liefert brav die Daten zurück, und der Webmaster kann diese Liste auslesen - ein Paradies für jeden Spammer, Millionen von existierenden eMail-Adressen. Hoffentlich bekommt Google die Probleme schnell in den Griff... Quellen, Links & weiterführende Artikel: » Docs & Spreadsheets-XML-Kontakte » Video-XML-Kontakte » Skript von Haochi » Entdeckung der API » Aufruf des Contact Picker » Google Mail-Kontaktliste » Veröffentlichung des Skripts » Problem teilweise gelöst » Zusammenfassung von Haochi » Bericht bei anty.at » Bericht bei heise Update: » Google Mail ContactPicker jetzt bei Google Video und Spreadsheets