Google Down
Die Website Pingdom zeichnet die Up- und Down-Time der 20 weltweit größten Webseiten auf und bietet Statistiken dazu an. Laut dieser Website war Google in diesem Jahr schon 7 Minuten offline, YouTube und Blogger sogar mehr als 4 Stunden. Bei Google dürfte es sich wohl immer um wenige Sekunden gehandelt haben die sich in den 3 Monaten zu dieser Summe addiert haben, YouTube und Blogger wundert mich nicht... Besser steht Konkurrent Yahoo! - 0 Minuten Downtime, Gratulation! [Googlified]
Analytics
Wenn am Samstag morgen schreie und Panikrufe durch die Internetwelt gegangen sind, dann waren das wahrscheinlich die von Webmastern welche auf die Daten von Google Analytics vertrauen. Für den halben Samstag lagen keine Daten vor, so dass Analytics einfach davon ausging dass es in dem Zeitraum keinen Traffic auf der Webseite gab. Mittlerweile läut aber alles wieder rund. Googles Server haben zwar auch am samstag morgen fleißig die Daten eingesammelt und den Ladevorgang der Webseiten nicht gebremst - aber durch ein technisches Problem haben es die Daten nicht bis zur Auswertung in Analytics geschafft. Und so ging die Software einfach davon aus dass es keine Besucher gab und die Besucherdiagramme fielen massenweise ins Bodenlose. Analytics-Diagramm
Nach einigen Stunden wurde das Problem aber behoben und die Daten wurden nachträglich aktualisiert, so dass der Ausfall keine Spuren in den Besuchsstatistiken hinterlassen wird. » Analytics-Blog: Problembestätigung » Analytics-Blog: Problem behoben [TechCrunch]
Google News
Seit einigen Tagen, bei einigen Usern auch Wochen, waren die Google News teilweise unbenutzbar. Die Homepage war entweder komplett leer oder wurde nur teilweise mit Inhalten gefüllt. Die Suchfunktion hat anstandslos funktioniert, es lag also nicht an Problemen mit den Feeds, sondern an der Startseite selbst. Seit heute Nacht ist das Problem behoben und die Startseite präsentiert sich wieder im alten Glanz. Anscheinend haben die Googler kleine Veränderungen vorgenommen oder testen neue Features - wer weiß. Interessanterweise haben bei mir die personalisierten News-Bereiche weiterhin funktioniert, nur die vorgefertigten Bereiche waren komplett leer. [Google Blogoscoped]
Google
Das SafeBrowsing-Tool von Google soll unerfahrenen Benutzern dabei helfen nicht auf gefährliche Seiten hereinzufallen. Mittlerweile ist dieses Tool in die Google Toolbar integriert, und diese ist wiederum standardmäßig in den Firefox 2 integriert. Doch nun hat genau dieses Tool Zugangsdaten von Usern freigelegt... Die Toolbar-Version des Firefox hat eine Option, die es jedem Benutzer erlaubt eine Website an Google zur Überprüfung zu melden und damit andere User zu warnen. Diese Daten sind frei auf dem Google-Server in einer Blacklist verfügbar, soweit kein Problem, aber leider haben diese Daten auch teilweise Logindaten enthalten die die User sicherlich nicht übertragen wollten. So haben einige Benutzer beispielsweise die Funktion einfach einmal ausprobieren wollen und Google Mail als gefährliche Seite gemeldet, vielleicht haben sie auch nur die gerade angezeigte eMail gemeint, wie auch immer - ihre Daten wurden an den Server übertragen und waren damit für die ganze Welt sichtbar gewesen, mitsamt dem Login-Passwort. Ich weiß zwar nicht wie die Zugangsdaten in diese Liste kommen, da ja eigentlich nur die URL gemeldet wird, aber es ist schlimm genug dass Google an diese Möglichkeit nie gedacht hat und diese Liste dann auch noch frei auf dem Server lässt. Mittlerweile soll das Problem aber behoben und die Daten wieder sicher sein, na hoffentlich... » Artikel bei golem [thx to: Stefan2904]
Google
Ich könnte mir vorstellen dass es täglich mehrere hundert Versuche von irgendwelchen Deppen gibt die Domains google.com oder google.de zu registrieren oder einen Übernahmeantrag zu stellen. In 99% der Fälle wird sowas natürlich abgeblockt, aber ab und an scheint es dann doch einmal zu funktionieren - und so wurde im Laufe der heutigen Nacht Google.de entführt. Je nachdem auf welchem Fleck der Erde man sich gerade befindet (und wie aktuell die DNS-Liste des Providers ist) landet man bei der Eingabe von google.de auf der tatsächlichen Webseite von Google Deutschland, auf der amerikanischen Google.com-Webseite, oder auf die Homepage des Entführers Goneo.com, einem Webhoster. Bevor die Homepage von Goneo unter Google.de angezeigt wurde, wurde auch eine Zeit lang der bekannte Text
Für diese Domain wurden keine Inhalte hinterlegt. Bitte schauen Sie zu einem späteren Zeitpunkt nochmal vorbei...
angezeigt. Der Inhaber von Google.de scheint sich zur Zeit auch stündlich zu ändern, erst gehörte sie einem Martin Rusteberg aus Wiesbaden, dann Mario Micklisch und jetzt gehört es "favo" aus Wiesbaden - anscheinend ein Nickname (Seit wann darf man da Nicks verwenden?). Ich denke Google hat den Domainklau bereits bemerkt und wird die DENIC darüber informiert haben, aber bisher hat sich der WHOIS-Eintrag noch nicht geändert. Ich bin mal gespannt ob darüber noch weitere Details ans Tageslicht kommen werden, oder ob die Einträge still und heimlich wieder geändert werden - so als wenn nie etwas gewesen wäre... » Artikel bei der tagesschau » Artikel beim Barebonecenter [Google Blogoscoped]
Sicherheitslücke
Kaum zu glauben aber wahr: Innerhalb von 2 Wochen wurde jetzt eine dritte große Sicherheitslücke bei Google entdeckt. Nach dem ausspähen der Google Mail-Kontakte und dem Cookie-Klau via Blogger hat Haochi jetzt eine weitere Möglichkeit zum Cookie-Klau entdeckt. In Googles Sicherheitsabteilung dürften wohl bald einige Köpfe rollen... Angespornt von der ersten vor 2 Tagen bekannt gewordenen Sicherheitslücke hat sich Haochi von Googlified auf die Suche nach weiteren Möglichkeiten zum Cookie-Klau gemacht - natürlich im Dienste der Sicherheit, nicht um böswilliges damit anzustellen. Laut eigenen Aussagen hat er eine Möglichkeit gefunden das Google.com-Cookie mit nur 3 Zeilen PHP-Code zu klauen. Wie dieser Cookie-Klau genau funktioniert und welcher Dienst diesmal betroffen ist hat er natürlich noch nicht preisgegeben, dies folgt erst wenn das Google-Team den Fehler behoben hat. Ich denke aber dass es sich um AdSense oder Analytics handeln dürfte - eben ein Angebot mit dem man Google in die eigene Webseite integrieren kann. Ich könnte mir vorstellen dass es noch viele weitere offene Lücken im Google-Netzwerk gibt, die bisher nur noch nicht entdeckt worden sind und demnächst alle ans Tageslicht kommen. In der Sicherheitsabteilung sollte man sich in den nächsten Wochen also auf Überstunden einstellen und vielleicht ein wenig besser arbeiten... Was bei all diesen Sicherheitslücken so beunruhigend ist, ist die Tatsache dass sie alle sehr leicht reproduzierbar und sehr einfach gehalten sind - wer weiß wie viele schwerwiegende Lücken dann noch im System vorhanden sind. Ich bin mal gespannt wo die Lücke diesmal steckt - in einigen Tagen werden wir es erfahren. [Google Blogoscoped]
Blogger
Nachdem Google die Sicherheitslücke zum ausspähen des Cookies komplett geschlossen hat und nicht mehr reproduzierbar ist, hat Tony Ruscoe beschlossen die Lücke zu veröffentlichen. Die Angriffsstelle war das neue Custom Domain-Feature von Blogger, mit dessen Hilfe Tony eine Google-Subdomain praktisch entführt hat. Im Hilfeeintrag von Blogger wird die Subdomain ghs.google.com als Beispiel für die Einrichtung einer eigenen Domain genannt. Leider hat Google vergessen genau diesen Eintrag zu sperren, und dies hat ein User sich aus versehen zu Nutze gemacht. Um eine Domain komplett auf Blogger umzuleiten, muss ein Eintrag in der DNS-Tabelle vorgenommen werden, und genau dies wurde für ghs.google.com schon getan. Die Adresse ist jetzt also komplett eingerichtet, jetzt muss sie nur noch an Blogger gebunden und mit Content gefüllt werden. Ganz offiziell über das Custom-Domain-Interface hat Tony nun seinen Blog quasi auf ghs.google.com umgezogen, der Content kam zwar weiterhin von Blogger - aber für den Server lag der ganze Inhalt auf ghs.google.com, damit hatte Tony nun vollen Zugriff auf eine Blogger-Subdomain. Mit dem Besitz dieser Subdomain hatte Tony nun die Möglichkeit auf den Google-Cookie zuzugreifen und diese Informationen problemlos auszulesen. Blogger hat das Problem jetzt, eher unelegant, damit gelöst dass keine URLs mehr angenommen werden die auf "google.com" liegen. Das mag jetzt ganz gut dafür sein dass Googles Daten wieder sicher sind, aber das Hauptproblem ist noch lange nicht gelöst. Es gibt bisher keinen guten Weg herauszufinden ob der Blogger wirklich im Besitz der Domain ist. Hier muss noch eine Möglichkeit gefunden werden, evt. per Datei-Validierung wie es z.B. bei Sitemaps funktioniert. Hoffen wir dass es nicht noch weitere große Sicherheitslücken gibt die ein solches Ausspähen ermöglichen... » Sehr ausführliche Erklärung von Tony
Google Mail
Das neue Jahr hat für die Googler gleich mit einer riesigen Sicherheitslücke begonnen die alle eure Google Mail-Kontakte ausspähen konnte und immer noch kann. Den Ursprung hat das ganze mit der Entdeckung einer in der Entwicklung befindlichen API genommen, der Contacts API, welche zwar eine sehr gute Idee ist, aber derzeit noch ohne jede Sicherheitsbestimmung mit eMail-Adressen um sich wirft. Der erste Schritt, die Entdeckung der API, kam natürlich wieder einmal von Garett Rogers. Er hat eine Zeile im Google Video-Quellcode entdeckt, die auf einen neuen "Contact-Picker" hinweist. Schon länger ist es möglich, Videos an verschiedene eMail-Adressen weiterzuleiten, aber bisher musste man diese Adressen noch im Kopf haben oder von Google Mail abtippen. Mit dem neuen Feature wird man direkt aus den Google Mail-Kontakten auswählen können. Die Funktion selbst ist immer noch aktiv, nur liefert sie derzeit verständlicherweise keine Daten mehr zurück. Schaut euch dazu einfach irgendein Video bei Google Video an und tippt dann folgende Zeile in die Adressleiste:
javascript:handlePickerClick(0);void(0);
voila! Der Haken an der ganzen Sache ist ja nun, dass dieses Fenster die Daten irgendwo her bekommen muss - und genau da liegt das Problem. Bei fast jeder Subdomain eines Google-Dienstes hat vor einigen Tagen die URL subdomain.google.com/data/contacts eine vollständige XML-formatierte Liste der Google Mail-Kontakte zurückgeliefert. Bei einigen Angeboten, wie z.B. die Docs & Spreadsheets-Datei funktoniert dies immer noch und wird wohl von den Diensten dazu benutzt die Kontakt-Liste aufzubauen. Richtig los ging es jetzt aber erst, als Haochi von Googlified sich diese XML-Dateien vorgenommen, mit einem Skript geparst und dieses Skript online gestellt hat. Digg und Slashdot haben ihr übriges getan und den Googlern das Wochenende und die Neujahresfete vermiest. Da sie sich so schnell nicht zu helfen wussten, haben sie die Ausgabe der Kontakte jetzt bei den meisten Angeboten erst einmal abgestellt. Haochi hat das Security-Team von Google zwar vor der Veröffentlichung des Skripts informiert, aber leider nur 2 Stunden davor und in der Nacht des 31.12 - auch nicht die feine englische Art... Das Problem ist nun, dass einige Angebote die eMail-Adressen dringend brauchen und sich diese wohl immer auf diesem Wege geholt haben. Diese Sicherheitslücke muss jetzt schleunigst bei allen Angeboten geschlossen werden, sonst kann das noch böse Folgen haben und die Sicherheit von Google Mail noch weiter in Verruf geraten. Die Frage ist nur, wieso die Googler nicht selbst auf die Idee gekommen sind die Daten auf einem anderen Wege in die Anwendungen zu importieren wo sie benötigt werden. Haben sie einfach auf Gut Glück die Daten auf diesem Wege ausgelesen und gehofft dass es schon keiner rausfinden wird? Leicht fahrlässig... Hoffentlich baut die neue API nicht auf diesem Prinzip auf, sondern hat eine sicherere Möglichkeit der Übertragung - ansonsten können sie das ganze wegschmeißen und von vorne beginnen. Warum um diese ganze Sache nun so ein Wirbel gemacht wird ist natürlich verständlich. Zwar werden nur die Adressedaten der Kontakte angezeigt die zu dem dazugehörigen Google Mail-Account gehören mit dem man gerade eingeloggt ist, aber dies kann ganz leicht von Webmastern ausgelesen werden. Eine Webseite müsste nur im Hintergrund eben diese Seite öffnen, Google Mail liefert brav die Daten zurück, und der Webmaster kann diese Liste auslesen - ein Paradies für jeden Spammer, Millionen von existierenden eMail-Adressen. Hoffentlich bekommt Google die Probleme schnell in den Griff... Quellen, Links & weiterführende Artikel: » Docs & Spreadsheets-XML-Kontakte » Video-XML-Kontakte » Skript von Haochi » Entdeckung der API » Aufruf des Contact Picker » Google Mail-Kontaktliste » Veröffentlichung des Skripts » Problem teilweise gelöst » Zusammenfassung von Haochi » Bericht bei anty.at » Bericht bei heise Update: » Google Mail ContactPicker jetzt bei Google Video und Spreadsheets
Google
Während der Silvesterfeier im Googleplex haben die Mitarbeiter wohl einen falschen Stecker herausgezogen. Sowohl Googles Spielwiese Searchmash als auch der Google Calculator sind zur Zeit teilweise offline. Während Searchmash garnicht erreichbar ist, arbeitet der Calculator nur teilweise bis garnicht. Searchmash Zur Zeit leitet searchmash.com direkt auf sorry.searchmash.com um, aber zeigt keinen Content an. Auch direkte Suchanfragen über die URL leiten darauf weiter und geben eine leere Seite zurück. Das muss jetzt natürlich kein Problem sein, da Searchmash nie offiziell angekündigt wurde und weder Beta ist noch sonst irgendetwas. Es ist einfach eine Spielwiese die auch schnell wieder offline genommen werden kann. Ich denke es werden zur Zeit neue Features eingebaut und dann ist die Suchmaschine wieder zurück. Calculator Der Calculator hat eine Zeit lang nur bei sehr einfachen Additions- oder Subtraktionsaufgaben angeschlagen, aber bei Anfragen wie z.B. 100 meters in kilometer versagt. Mittlerweile funktioniert es wieder, aber bei einigen Landesdomains wie z .B. google.ca funktioniert das ganze immer noch nicht. Die Googler scheinen derzeit an der Erkennung von Suchanfragen zu arbeiten, da teilweise statt dem Calculator eine Archive Search-Onebox angezeigt wurde. Ich glaube die Oneboxen werden die Googler nochmal in den Wahnsinn treiben, da es einfach sehr schwierig ist zu erkennen was die User denn nun wirklich wissen wollen, und ihn nicht mit sinnlosen Boxen zu nerven. Ich bin gespannt wie es damit in diesem Jahr weitergehen wird - eine Veränderung MUSS es geben. [Google Blogoscoped: Searchmash, Calculator]