Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » Google dicht door 14-jarige gevonden Gmail-lek

Google dicht door 14-jarige gevonden Gmail-lek

Door Harm Hilvers, zaterdag 4 maart 2006 01:32
Bron: Ph3rny's Blog, views: 37.450

Gmail logoEnkele dagen geleden heeft een 14-jarige scholier met de naam Anthony een lek gevonden in Googles Gmail-e-mailservice. Normaal is het zo dat bij Gmail Javascript in ontvangen e-mailberichten wordt uitgeschakeld, maar door een bug in de Gmail-software werd dit in bepaalde gevallen niet gedaan. Door deze flaw was het mogelijk Javascript-code te draaien in Gmail, waardoor de mogelijkheid ontstond om kwaadaardige code rond te sturen om zo bijvoorbeeld toegang te krijgen tot Gmail-cookies. De scholier vond het lek doordat hij wat Javascript-code heen en weer e-mailde tussen zijn Yahoo- en zijn Gmail-account. Vrij snel na het bekend worden van het lek is een reparatieploeg van Google langs geweest die een en ander gedicht heeft. Doordat dit zo snel heeft kunnen plaatsvinden, is de kans niet groot dat er misbruik is gemaakt van het lek. Google had echter graag gezien dat Anthony het gevonden lek eerst aan Gmail bekendgemaakt had en het bedrijf tijd had gegeven om het te fixen, en het daarna pas aan de grote klok te hangen.

Volgende 10:52 Google Mini uitgebracht voor MKB
Vorige 01:11 ATi komt mogelijk met prijsverlagingen gpu's
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 59 reacties zichtbaar590 Off-topic / Irrelevant: 58 reacties zichtbaar58+1 On-topic: 47 reacties zichtbaar47+2 Informatief: 20 reacties zichtbaar20+3 Spotlight: 10 reacties zichtbaar10
«  1  2  »

Door duce, zaterdag 4 maart 2006 01:41

Score: 0
wat maakt het uit dat een 14 jarige gozertje een lek heeft gevonde dat er een lek was vind ik veel belangrijker. hoe oud die knaker is boeit me niet.

Door mashell, zaterdag 4 maart 2006 12:06

Score: 1
De stelling zal wel zijn "als een kind van 14 dit kan" waarom hebben de testers of hackers dit niet gevonden?

Door arjankoole, zondag 5 maart 2006 21:46

Score: 1
De stelling zal wel zijn "als een kind van 14 dit kan" waarom hebben de testers of hackers dit niet gevonden?
sommige code is zo complex, dat je echt niet iedere bug er uit kan vissen.

Door Alex), zaterdag 4 maart 2006 01:42

Score: 3
Zo zie je maar weer, de jeugd wordt steeds vroeger inventief :)
Ik vraag me alleen wel af wat er nou echt had kunnen gebeuren, aangezien het stukje JS in het previewstukje niet werd uitgefilterd, en dat is hoe lang, 100 tekens?

Door eborn, zaterdag 4 maart 2006 07:45

Score: 3
Een stukje JS kan een ander stukje JS binnenhalen en uitvoeren. In 100 tekens moet dat volgens mij wel lukken.

Door Photech, zaterdag 4 maart 2006 14:14

Score: 3
Gezien code en ook in Javascript enorm veel kan veroorzaken, kun je er van uitgaan dat er heel wat hat kunnen gebeuren.

Denk bijvoorbeeld eens aan encryptie, deze had makkelijk gelezen kunnen worden.

Om je een beeld te geven, kun je met 2 simpele regeltjes aan code bijvoorbeeld in PHP of C++ een hele website lam leggen of zelfs je hele systeem.

Wijzig maar eens 1 waarde in je register van windows (niet aan te raden)
Kijken of het je dan duidelijk wordt, hoe belangrijk gestructureerd programmeren is en hoe belangrijk het is om constant te tetsen voor je een stukje software op de markt brengt.

Daarom is het ook heel makkeijk voor een programmeur om iedere dag een nieuwe virus te schrijven. Gelukkig met de beveiligingen die er voor worden geschreven wordt het wel steeds lastiger uiteraard.

Maar zelfs 10 tekens of 1 teken in een stukje programmering kan veel uitmaken.

Stel je voor dat je 1000.00 euro van de bank kreeg overgeschreven, maar het had eigenlijk 100.00 euro moeten zijn.

Same thing.

Door martijnvanegdom, zaterdag 4 maart 2006 14:21

Score: 2
Met PHP een server lam leggen kan, maar als de server goed geconfigt is dan zullen scripts afgekapt worden als ze te lang draaien..

in c is het 1 regel :

while(true) {};

(alhoewel misschien pakt gcc deze er uit )

In assembler (generic style)
LOOP: Branch LOOP

Je kunt je lol op. Het windows register is gewoon bout daar moet de wereld gewoon vanaf.

En wat je noemt over encryptie.. Helaas... Eenmaal geëncrypt kun je net zulke brakke code hebben die je wilt, decrypten blijft moeilijk, behalve als de encrypter of de decrypter de sleutels voor het oprapen geeft

Door John Kruger, zaterdag 4 maart 2006 17:24

Score: 1
kun je met 2 simpele regeltjes aan code bijvoorbeeld in PHP of C++ een hele website lam leggen of zelfs je hele systeem
zelfs met een regeltje: format d: :z

Door boesOne, zaterdag 4 maart 2006 17:46

Score: 2
Met format D: is je systeem niet lam, je systeem is dan D: aan het formatten.. prima toch :)
Er zit een verschil tussen een systeem dat vast zit in een loop ofzo, en een systeem dat prima werkt maar toevallig op de C: prompt staat te idlen..

Door dikke_muk, maandag 6 maart 2006 14:42

Score: 1
wat dacht je van

2 ^ 32 afgeschreven ipv 2 ^ 31

Door RutgerM, zaterdag 4 maart 2006 01:42

Score: 0
Altijd weer die scriptkiddies :+

Google wil graag haar imago hoog houden... gewoon lekker even aan de grote klok hangen.

Waar gewerkt wordt vallen er toch immers wel spaanders !

Door addictive, zaterdag 4 maart 2006 04:09

Score: 1
waar gehakt wordt, niet waar gewerkt wordt :)

Door RutgerM, zaterdag 4 maart 2006 04:11

Score: 1
Zonde van zo'n serverpark.... hakken :+

Door MetalRush, zondag 5 maart 2006 13:05

Score: 1
Het is ook niet hakken maar hacken :P :+

/nutteloze reactie

Door 4VAlien, zaterdag 4 maart 2006 14:31

Score: 1
Conclusie: Gmail is bij elkaar gehackt prutswerk }>

Door _Thanatos_, zaterdag 4 maart 2006 01:50

Score: 1
Ach, het zegt niks over de intelligentie van dat jochie, maar misschien meer over de eenvoud waarmee het lek te ontdekken viel...

Door Erkens, zaterdag 4 maart 2006 09:13

Score: 2
Het verhaal verteld mij wel wat over de intelligentie van die knaap:
Google had echter graag gezien dat Anthony het gevonden lek eerst aan Gmail bekendgemaakt had en het bedrijf tijd had gegeven om het te fixen, en het daarna pas aan de grote klok te hangen.
Dan ben je niet echt intelligent als het je alleen maar om het "verhaal" gaat en niet het risico + gevolgen in kan zien.

Door Cybje, zaterdag 4 maart 2006 09:28

Score: 2
Moch, vaak heb je er ook niks aan om een bug gewoon te melden bij een bedrijf. Als het uberhaupt wordt opgelost (zie maar eens contact te vinden met de juiste persoon), krijg je er vaak niks van terug.

Nou doe je het ook niet direct om er iets voor terug te krijgen, maar een bedankje met een klein presentje van het bedrijf zou leuk zijn. Zelfs al is het maar een muismat.

Door MacPhisto119, zaterdag 4 maart 2006 10:21

Score: 1
Moch, vaak heb je er ook niks aan om een bug gewoon te melden bij een bedrijf. Als het uberhaupt wordt opgelost (zie maar eens contact te vinden met de juiste persoon), krijg je er vaak niks van terug.
Aangezien die scholier zelf een gmail account heeft, heeft natuurlijk wel degelijk iets aan het melden van een bug. Je moet niet gaan klagen dat er bugs in een programma zitten, als je zelf geen bugs doorgeeft als je die vindt.

Anderzijds hoef je natuurlijk ook geen eeuwigheid te wachten totdat het bedrijf de bug heeft opgelost, maar je kan ze best een paar weken geven.

Door Erkens, zaterdag 4 maart 2006 11:48

Score: 1
Nou doe je het ook niet direct om er iets voor terug te krijgen, maar een bedankje met een klein presentje van het bedrijf zou leuk zijn. Zelfs al is het maar een muismat.
Wie zegt dat deze knaap geen bedankje gehad zou hebben als hij het gewoon netjes meld?
En contact opnemen moeilijk? Gewoon naar het algemene adres een mailtje sturen, wordt er niet gereageerd binnen een redelijke tijd dan kan je er altijd nog voor kiezen om het aan de grote klok te hangen.

Door mashell, zaterdag 4 maart 2006 10:29

Score: 2
Dan ben je niet echt intelligent als het je alleen maar
Of juist wel, wie hebben er op hun 14e nou al hun "15 minutes of fame" binnen?

Door Erkens, zaterdag 4 maart 2006 11:48

Score: 1
dat je "15 minutes of fame" krijgt bewijst niet je intelligentie ;)

Door jvaalder, maandag 6 maart 2006 16:38

Score: 1
Die passage geeft eerder aan dat de knaap beoogde het lek gedicht te krijgen. Als hij het aan Google gemeld had, zou hij op z'n gunstigst een aardig studiefondsje met zwijgplicht aan de zaak hebben overgehouden en zat dat lek er nu nog in. Op z'n ongunstigst was hij in een cel beland met eoa verzonnen aanklacht. De zogenaam tegen terrorisme bedoelde wetgeving daar impliceert immers de facto dat iedereen zonder beschuldiging of zelfs maar verdenking voor onbepaalde tijd kan worden opgesloten. In de US kan iemand die zijn vrijheid lief heeft een corporate opponent alleen veilig tegemoet treden met de protectie van maximale media-aandacht.

Door JerreDV, zaterdag 4 maart 2006 15:06

Score: 0
Het zegt volgens mij inderdaad niets over de intelligentie van die jongen. Het is gewoon puur geluk dat het ontdekt werd.

Daarbij, Gmail is nog in bèta. Ik weet dat ze al erg lang in bèta zijn, maar ik vind dat je dan toch zeker een lek eerst moet melden aan het bedrijf zelf. Als je als bedrijf zegt dat iets nog in bèta is, dan vind ik dat je er als klant sowiso niets op kan zeggen als er nog fouten in zitten. Zelfs al zit die software 20 jaar in bèta. Als je zo´n software gebruikt, neem je dan ook dat risico.

Dus conclusie:
- Hij had het moeten melden
- Op zich geen probleem, want het is bètasoftware
- Goed dat het snel gefixed is
- Ergens wel spijtig dat Google zich achter die bèta blijft verschuilen.

Door adyta, zaterdag 4 maart 2006 01:52

Score: 0
Waarom zou die kerel Javascript naar zichzelf heen en weer blijven mailen :?

Blijkbaar heeft ie ook niks beters te doen :z

Door _ferry_, zaterdag 4 maart 2006 02:12

Score: 1
Ehh, als vervanging voor de USB stick? Ik mail ook vaak dingen naar mijn g-mail account (lekker groot) als een soort file storage.

Door VisionMaster, zaterdag 4 maart 2006 02:17

Score: 1
Google had graag gewild dat het eerst hun werd gemeld, maar in dit geval had hij het nou niet echt bepaald wereldkundig gemaakt van zichzelf. Hij heeft het op zijn Blog gezet, dat is op zich niet helemaal een top idee, maar dat kan je toch niet direct 'publiceren' noemen?

Als ik nou op mijn grote raam een papiertje hang met deze bug-uitleg plus voorbeeld, dan moet je maar hopen dat er mensen zijn die je Blog raken die dat hebben begrepen.

Door Dr. Strangelove, zaterdag 4 maart 2006 09:51

Score: 3
Dus iets op een openbaar blog zetten waar de hele wereld bij kan is niet publiceren volgens jou? In mijn boekje anders wel. Tuurlijk, het is niet alsof hij een persbericht heeft doen uitgaan naar Reuters maar binnen de mogelijkheden van een 14-jarige vind ik dit toch echt wel vallen onder publicatie.

Door Mr. Wizard, zaterdag 4 maart 2006 12:19

Score: 2
De beste jongen is 14, google had liever gezien dat hij de bug eerst gemeld had, laat me niet lachen, ze mogen blij zijn dat die jonge het uberhaupt achteraf naar google heeft gestuurd. Het blijft tenslotte vrijwilligers werk :)

Door spone, zaterdag 4 maart 2006 02:19

Score: 0
Wie is er nou in hemelsnaam geïnteresseerd in de blog van een 14-jarige koter?

Door interaddict, zaterdag 4 maart 2006 02:33

Score: 3
Het was een supersimpel lek, vreemd genoeg werd in mailtjes afkomtig van Yahoo, het subject niet gefilterd op html/javascript. Daardoor was in de Subject Javascript uit te voeren.

Door Mephisteus, zaterdag 4 maart 2006 02:43

Score: 3
Het is per toeval ontdekt toen hij wat javascript overstuurde. Kan eigenlijk iederen gebeuren dus... Hij vond iets en dacht er verder niet over na (behalve door het op zijn blog te posten).

Google heeft het tenminste snel kunnen dichten, en laten we vooral niet vergeten dat gmail nog in de beta fase is :)

Door pinobot, zaterdag 4 maart 2006 03:02

Score: 3
Dat wordt hèt excuus van 2006, "het is in beta".
Voipbusters, Skype-in, Google mail, en alle ander beta's zijn gewoon een slimme manier om verantwoordelijkheid van je af te schuiven.
Zal me niks verbazen als straks Vista als beta verkocht wordt. :+

Door Mephisteus, zaterdag 4 maart 2006 03:29

Score: 2
Het 'ergste' is dat ze gewoon gelijk hebben. Het zijn en blijven gratis diensten :) Bij Vista bijvoorbeeld werkt het gewoon niet zo :P

Door Pietje Puk, zaterdag 4 maart 2006 05:38

Score: 3
Gratis is geen argument. Dat de consument er niet rechtstreeks voor betaald wil niet zeggen dat zo'n dienst geen inkomen genereert. En dan nog. Men brengt het uit, dan kun je op zijn minst verwachten dat het werkt.

Ik zie dan ook eigenlijk geen verschil tussen bv hotmail of Gmail. Ook het gedoe van invites "omdat het beta is" irriteert mij mateloos aan gmail. Release het of dump het maar een product jarenlang in Beta houden slaat echt nergens op. Maar het is wel makkelijk. Op die manier kunnen je gebruikers nergens over klagen. GMail misbruikt gewoon de beta status om de rechten van de gebruikers te minimaliseren. Te triest voor woorden.

Door poepkop, zaterdag 4 maart 2006 08:11

Score: 1
Misschien moeten ze de google zoekmachine ook Beta maken (alsof ze een versie 2 maken), scheelt een hoop rechtzaken denk ik :)

Door Standeman, zaterdag 4 maart 2006 08:44

Score: 3
Ik vond het juist geniaal dat ze de invite-manier hebben gebruikt.

Op die manier verzeker je ervan dat de userbase niet direct uit de klauwen begint te groeien. Of dacht je dat ze gelijk tig terabyte aan opslag hadden staan om een enorme rush te ondersteunen. GMail zou dan niet het eerste project zijn dat aan zijn eigen success ten onder gaat. (zoals bijv. superweb). Zij waren namelijk de eerste die 1GB opslag beloofde voor je mailbox.

Tevens diende het invite-systeem nog een ander doel (denk ik, heb nooit een bron kunnen vinden). Daarmee kan je prima het sociale netwerk van GMail gebruikers vastleggen. Je weet precies wie wie kent (zeker van de eeste 5 invites die je kan doen), kijken of ze elkaar nog mail sturen (zonder naar de inhoud te krijgen) en de informatie gebruiken om een beter (of ander) product in elkaar te zetten of te verkopen (ja, ook GMail moet ergens van betaald worden!!)

Tevens zijn er genoeg alternatieven, dus je er aan irriteren is imo onzin. Zonde van je tijd..

Door The Zep Man, zaterdag 4 maart 2006 08:59

Score: 3
Op die manier verzeker je ervan dat de userbase niet direct uit de klauwen begint te groeien.
Fifty Gmail Invites on the wall. Fifty Gmail invites...

Het heeft niet alleen te maken met het langzaam ombouwen van ruimte voor opslag, maar ook dat Google in 90% van de gevallen relaties kan leggen tussen verschillende gebruikers en (op de lange termijn) een profiel van de gebruiker en zijn vriendenkring kan maken, waarop advertenties kunnen worden afgesteld.

Door Not Pingu, zaterdag 4 maart 2006 10:57

Score: 1
Op die manier kunnen je gebruikers nergens over klagen. GMail misbruikt gewoon de beta status om de rechten van de gebruikers te minimaliseren.
Zolang je niet betaalt voor een dienst, is een bedrijf jou niks, maar dan ook niks schuldig. Ik heb een hekel aan dat consumentistisch gezeik dat alles perfect en snel moet zijn, en nog gratis ook. En al helemaal het argument dat Google er indirect geld aan verdient. Zolang jij als gebruiker niet betaalt, zijn ze jou niets schuldig. Punt uit.

Door The - DDD, zaterdag 4 maart 2006 11:30

Score: 2
@Gunp01nt

Hoezo? je gaat akkoord met een gebruiksovereenkomst zodra je bijvoorbeeld gmail gaat gebruiken. Daarin staat onderandere dat Google gerichte reklame naast je berichtvenster mag plaatsen op basis van de inhoud van jouw mail.

Google neemt daarmee rechten en dat schept ook zeker plichten van hun kant.

Je betaalt dus wel zeker, het is echter niet in de vorm van geld.


Overigens vind k dat Google correct heeft gehandeld. Na constatering hebben ze het probleem z.s.m. verholpen. Meer kun je eigenlijk niet verwachten van Google. En als die 14 jarige het netjes had gedaan, dan had een bedrijf hem waarschijnlijk bij naam en toenaam genoemd wanneer ze een ersbericht uit hadden laten gaan hierover. Of ze hadden hem ruimschoots beloond met de belofte zijn snuit dicht te houden tegen de rest van de wereld.

Door Jarno_, zaterdag 4 maart 2006 11:34

Score: 1
Ja en dan zijn er websites zoals deze:
http://isnoop.net/gmail/

en dan is je hele relatie informatie weer nutteloos geworden.

Edit: reactie op zepman

Door rodka, zaterdag 4 maart 2006 11:44

Score: 0
Zolang je niet betaalt voor een dienst, is een bedrijf jou niks, maar dan ook niks schuldig. Ik heb een hekel aan dat consumentistisch gezeik dat alles perfect en snel moet zijn, en nog gratis ook. En al helemaal het argument dat Google er indirect geld aan verdient. Zolang jij als gebruiker niet betaalt, zijn ze jou niets schuldig. Punt uit.
Helemaal mee eens, mijn moeder zat laatst ook te zeuren over de reclame in haar hotmail account.

"En als ik nou helemaal geen reclame wil dan? Ik vind het wel dom dat ik dat niet kan uitschakelen"

Het scheelde niet veel of mijn lieve ma had een serieuze bitchslap in haar gezicht gekregen...

Door RwD, zaterdag 4 maart 2006 13:11

Score: 1
@Zepman;
Onzin, dat kunnen ze ook door te kijken naar wie je emailt. en dat doe je veel vaker dan een invite sturen/krijgen. Bovendien verstuurden heel veel mensen hun invites aan mensen die er om vroegen in fora's en helemaal in het begin waren ze goud waard...

Door Mephisteus, zaterdag 4 maart 2006 13:33

Score: 1
De argumenten van Zepman zijn anders best goed. Dat van de vele gemail invites kwam later pas en tot die tijd was het echt in de trand van 'je moet iemand kennen'. Hiermee was zeker in het begin alles gelimiteerd en kon google makkelijk de populariteit peilen en het makkelijk bijhouden (omdat ze konden aangeven hoeveel gig er beschikbaar zou zijn voor email accounts en gebaseerd daarop invites uitgeven).

Door Pietje Puk, zaterdag 4 maart 2006 13:55

Score: 1
@Gunp01nt

Dus als ik onveilig vuurwerk op straat ga weggeven ben ik niet aansprakelijk voor de verwondingen die dat tot gevolg heeft? Natuurlijk wel. Je levert een product en dat product dient te doen wat je ervan verwacht.

Overigens is dit niet zozeer kritiek op Google. Google levert met gmail een aardig product af wat redelijk functioneert. Maar als mensen gaan roepen dat je niet mag klagen omdat het "gratis" en "beta" is, wordt ik wel erg moe. Maar het wordt wel hoog tijd dat Google Gmail eens officieel lanceert. Een eeuwig durende beta status kan gewoon niet.

Door Mephisteus, zaterdag 4 maart 2006 14:04

Score: 0
Het is gratis, het is beta. Klagen moet je niet doen, bugs aangeven wel. Het wordt toch nog steeds ontwikkeld en er komt toch nog steeds nieuwe functionaliteit bij? Beta op gmail is een gerechtvaardigde titel. Eigenlijk is beta op veel software een gerechtvaardige titel totdat besloten wordt dat het 'stabiel' is. Het als stabiel verklaren heeft tot gevolg dat er meer mensen gebruik van zullen maken (en waarschijnlijk dus meer zal verdienen, direct of indirect) maar dit schept ook plichten voor google. Google heeft gewoon zoveel dingen dat het gewoon riskant is om veel dingen uit beta te halen totdat je absoluut zeker weet dat het werkt. Anders is het financieel gewoon niet te doen.

Qua aansprakelijkheid. Google geeft email adressen weg, als het het niet doet zouden ze NIET aansprakelijk zijn want iedereen heeft zich VRIJWILLIG aangemeld en is akkoord gegaan met een TOS (nu weet ik niet precies wat daarin staat, maar ik heb het vermoeden dat er in ieder geval iets in staat in de trand van 'wij zijn niet aansprakelijk voor eventuele schade'). Ongeveer hetzelfde dus als je je aanmeld als menselijk proefkonijn voor één of andere medicatie.

Om de vuurwerk vergelijking te gebruiken. Voordat je het vuurwerk in ontvangst neemt wordt je gewaarschuwd en ga je ermee akkoord dat de distributeur niet aansprakelijk is voor eventuele schade (verwondingen). Je kunt de twee niet echt vergelijken. Maar zo is hoe het werkt met gmail.

@ The - DDD
Je gaat akkoord met een gebruikersovereenkomst en daarom mag je gmail gebruiken! Google neemt rechten op en eventuele plichten staan in de TOS waar je aangeeft dat je het mee eens bent (en ik heb het donkerbruine vermoeden dat daarin staat dat ze geen plichten hebben, behalve misschien het tijdelijk aangeven als de dienst stopt). Het feit dat google iets mag doen betekent niet dat ze iets aan jouw verplicht zijn, die twee zijn niet met elkaar verbonden.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 10:52 Google Mini uitgebracht voor MKB
Vorige 01:11 ATi komt mogelijk met prijsverlagingen gpu's
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011