Google dicht zeer groot xss-lek

Gepubliceerd: Maandag 11 mei 2009

Google.com was kwetsbaar voor xss-aanvallen. Via kwaadaardig Javascript lagen persoonsgegevens, e-mails en documenten voor het oprapen.

Toon volledig artikel

Sheize op Maandag 11 Mei 2009 17:42

Volgens mij kan het lek helemaal niet zó groot geweest zijn als hier wordt gesuggereerd. Ook al was Google vatbaar voor XSS, dan lijkt het me heel sterk dat het óók een beveiliging tegen session hijacking is vergeten. Dat zou namelijk toch wel de basis moeten zijn van een inlogprocedure.

Daarnaast vind ik het raar dat er gezegd wordt dat het Python-script op meerdere plaatsen wordt gebruikt. Het lijkt me dat dit gewoon één Python-script/object is en dat het niet relevant is hoe vaak dit wordt gebruikt en op welke plaats.

Maar het was wel een lek, dus goed dat het gefixd is.

0 / 6

CyberData op Maandag 11 Mei 2009 18:09

1 / 3

zebaz op Maandag 11 Mei 2009 21:27

En waarop baseer je die uitspraak of denkwijze? Ik vermoed common sense. Een mechanisme tegen session hijacking zoals het controleren van een IP-adres is eenvoudig te implementeren en maakt het overnemen van sessies een heel stuk lastiger. Een dergelijke basisvoorziening is eigenlijk onmisbaar in een fatsoenlijk authenticatiesysteem (hoewel het 'nomadisch' gebruik van je dienst iets lastiger maakt).

2 / 4

Anonymous Coward op Maandag 11 Mei 2009 17:55

Was dat die 'veilige' stille patch die vervolgens allerlei crashes veroorzaakte ?

-5 / 11

karloe op Maandag 11 Mei 2009 18:21

Was dat die 'veilige' stille patch die vervolgens allerlei crashes veroorzaakte ?

Hmm, heb ik wat gemist, is google.com gecrasht :O

Dat zal dan inderdaad door de "stille" patch voor Chrome komen.... :-p

1 / 3

anonymous_118315 op Maandag 11 Mei 2009 21:35

Ik denk niet dat de Google.com servers draaien in Chrome browsertjes. Of denk jij van wel? Ik had dit grapje bewaard voor later, als het wel toepasselijk was geweest. :)

Op zich vind ik het niet zo verkeerd dat er eens wat mis gaat in de Google winkel. Het is een mooie reality check.

-1 / 3

brief op Dinsdag 12 Mei 2009 09:18

Uberhaupt zijn dit soort berichten over problemen in de "cloud" nuttig. Mijn persoonlijke mening over cloud wordt hier door bevestigd: Harstikke mooi, maar 1 security lekje of outabge kan wel gigantische gevolgen hebben. En ja natuurlijk heb je dat ook bij lokale (kleine) netwerken, maar toch klinkt dit een beetje als een deja-vu. Als ik vroeger zei dat Exchange niet veilig was werd dat weggewuifd (door managers) met als argument: het is zo makkelijk en goedkoper in het beheer en MS krijgt dat vast wel op orde.. Kortom, veiligheid en beveiliging is lange tijd een ondergeschoven kind geweest en ondanks alle mooie woorden herken ik nu weer symptomen van kuddegedrag. Cloud is onontkoombaar, maar ik hoop maar wel dat dit soort berichtjes de mensen scherp houd. Leveranciers en klanten.

1 / 3

Mr. Right op Dinsdag 12 Mei 2009 10:25

Alweer zo'n blunder van Google Badware...

Ze zijn goed in het bedenken van nieuwe toepassingen, maar het programmeerwerk laat te vaak te veel te wensen over.
En voor online toepassingen is dat zéér risicovol, zo blijkt ook in dit geval weer.

-2 / 6

anonymous_118315 op Dinsdag 12 Mei 2009 10:46

Hmm, lekker. Mosterd na de maaltijd. Lekker genuanceerde mosterd ook.

het is je misschien nog nooit opgevallen, maar van elk stuk software komen wel eens patches uit omdat er fouten worden gevonden. Het feit dat je van Google verwacht dat het bij hen niet gebeurt is nogal naïef.