Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Bron: NetworkWorldFusion

Zoekengine Google heeft afgelopen week twee lekken gedicht, zo meldt Network World Fusion. De eerste kwetsbaarheid betrof de Custom WebSearch dienst, die Google-functionaliteit toevoegt aan websites van derden. Door een fout konden gebruikers afbeeldingen vervangen door JavaScript-code, waardoor het mogelijk werd om bijvoorbeeld het uiterlijk van de zoekresultaten te wijzigen, of zoekgegevens uit te lezen. Met behulp van de onlangs gelanceerde Desktop Search, was het zelfs mogelijk het lek zodanig uit te buiten dat gegevens van de harde schijf van gebruikers gelezen konden worden. Een woordvoerder zegt dat het probleem is opgelost nadat het onder de aandacht van het bedrijf kwam, maar volgens de ontdekker van het probleem bestaat het lek al ruim twee jaar en is Google er in de tussentijd minimaal twee keer van op de hoogte gesteld.

Google logo (3 regels hoog) zonder margesMaar Google liet met de fix de beveiligingsproblematiek nog niet achter zich: het Britse NetCraft heeft op zijn beurt een vergelijkbaar probleem ontdekt, dat kwaadwillenden de mogelijkheid geeft om eigen code toe te voegen aan de Google-website. Dit zou gebruikt kunnen worden voor bijvoorbeeld scams. Deze nieuwe vulnerability zou afgelopen donderdag zijn opgelost.

Moderatie-faq Wijzig weergave

Reacties (37)

Wat is de kans dat iemand bijvoorbeeld je harde schijf heeft gelezen??? Er zijn namelijk miloenen, zoniet miljarden mensen die Google gebruiken, volgens mij is die kans (bijna) niet aanwezig.
Miljarden word een beetje moeilijk, er zijn namelijk maar 813 Miljoen Internetbruikers :)
Moeilijk? Systemen genoeg met meerdere harddisks. En dikke servers met grote diskarrays...

Kan wel dus! :D
die de toolbar gebruiken |:(
Waarom zou je die statistieken geloven?
Maar een beetje tweaker zit toch al snel met twee of meer computers op internet.
Dat maakt niet uit. Het gevaar dat het gebeurt moet gewoon niet bestaan.
Iemand wil weten wat kennissen op hun harde schijf hebben staan. Ze laten het programma installeren en kunnen dan op de harde schijf kijken van deze mensen.
Het maakt natuurlijk weinig uit of Bill uit amerika op jouw schijf kijkt, maar als je buurman dat doet kan het vervelender zijn.
Het lijkt mij dat de Desktop Search te snel is uitgebracht. Kunnen grote bedrijven zoals Google niet van te voren een contest houden wie het eerst bugs kan vinden en deze vinders te belonen?
Het is daarom dus ook nog steeds een beta, net als GMail. De mensen hier schijnen dat wel vaker te vergeten... |:( Kun je van een beta verwachten dat het veilig is, dat er geen fouten in zitten? Nee.
Je kan van niet-beta software ook niet verwachten dat het veilig is of dat er geen fouten in zitten.
Testing can show the presense of bugs, but not their absence.
-- Dijkstra
Als je iemand citeert, doe het dan goed:
"Testing can show the presence but not the absence of errors." -- Dijkstra
dit is volledig waar sander.. maar toch, het gaat hier ook om een bug die (staat in het bericht) al 2 jaar bij google bekend was, en waar ze al die tijd niets aan gedaan hebben.. en dat is weer jammer eraan
Even lezen, het probleem zat in Google welke ook te misbruiken was in de Desktop Search (wellicht vraagt deze ook internetpagina's bij google.com op?).
Met behulp van de onlangs gelanceerde Desktop Search, was het zelfs mogelijk het lek zodanig uit te buiten dat gegevens van de harde schijf van gebruikers gelezen konden worden.
leuk, een lek in de google desktop search :(, nouja iig gedicht nu maar hopen dat er niet nog meer lekken in de desktop versie zit.

ps. wat is scam?
ps. wat is scam?
Ik durf nog te googlen :+

http://www.google.nl/search?hl=nl&q=%22what+is+scam%22&lr=

scam
A fraudulent business scheme; a swindle.
tr.v. scammed, scam·ming, scams
To defraud; swindle
Dan heb ik nog een tip voor je...

Google heeft speciale keywords. Define is er eentje van. Het werkt als volgt:

define: scam

http://www.google.com/search?sourceid=navclient&ie=UTF-8&q=define%3A+s cam
scam is: een vergelijkbare site (meestal met vrijwel dezelfde domeinnaam (zoals google.org ipv google.com) die je probeert op te lichten, om met de bekende merknaam je te lokken
scam:

a fraudulent business scheme

deprive of by deceit; "He swindled me out of my inheritance"; "She defrauded the customers who trusted her"; "the cashier gypped me when he gave me too little change"
Wat is scam? Google daar maar eens naar :+
Erg nuttig voor de scriptkiddies onder ons. Vervelend voor de 'normale' gebruikers van Google..en erg slordig dat dit nu pas wordt opgelost. Ik neem aan dat het hoofddoel van Google nog steeds is zo goed mogelijke zoekresultaten te weergeven..Eens kijken of de aandeeltjes blijven stijgen :)
De personen die de aandelen (ver)kopen zijn vaak niet zo technisch als de gemiddelde Tweaker, dus het zal wel meevallen. Zodra er echter een rechtzaak wordt aangespannen, dan zie je koersen veel sneller veranderen.

Het is dus afwachten op de eerste persoon die Google aanklaagt omdat zijn privacy geschonden was/is.
Dat aangeklaag ook altijd, 't lijkt net Amerika waar je een schadeclaim indient omdat je je eigen kat in de magnetron stopt omdat het niet in de handleiding stond dat dat niet kan... :Z
Het ís dan ook Amerika...
humm... moet ik nou zeer paranoia 'ha ha' zeggen, omdat ik dus weiger een product van google te gebruiken om mijn 'harde schijf volkomen veilig te laten indexeren'?

sorry, maar dat er bij GMail al verteld werd dat je mail 'gescand' zou worden op steekwoorden zodat er doelmatiger reclame zou kunnen worden gemaakt deed mij al meer dan skeptisch tegenover dit 'prachtige handige nieuwe product' staan, en dit nieuwsbericht zat er toch lichtjes aan te komen.. alleen dan weer jammer dat google er al 2 jaar van schijnt te weten.. M$ here we come :D
Wat je zegt foppe...dit zijn wel lichtpuntjes voor de MS-zoekfunctie

Aldus MS: "We're going to have a heck of a great race in search between Google, Microsoft and Yahoo. It's going to be really fun to follow."
Vind het wel wat kort door de bocht om te zeggen dat we nu allemaal hierdoor aan de MS search gaan. Zijn we opeens vergeten dat we de afgelopen 10 jaar hebben geroepen dat MS kut, bagger, troep software maakt? Doet google het met 2 lekken in een paar jaar nog niet zo heel slecht :)

IMHO: Ik wacht het rustig af en kijk wel welke als beste uit de bus komt. Ik heb toch geen brand-preference met betrekking tot dit soort zooi.
euhm, acolyte.. als verduidelijking eventjes..

mijn opmerking "microsoft, here we come" was meer spottend bedoeld (als in, hier hebben we nog zo'n bedrijf als :9), dan als 'nu moeten we massaal aan de M$producten.. als dit niet geheel duidelijk was, spijt dit mij ten zeerste natuurlijk :P

dat even daargelaten, begrijp mij natuurlijk ook nu weer niet verkeerd, ik ben niet bevooroordeeld tegen microsoftproducten, ik ben alleen enigszins skeptisch t.o.v. het 'privacy' idee.. en in dit geval de enigszins luie reactie van MS als er bugs werden gevonden (tot CERT min of meer in leven is geroepen, en ze bezig gingen aan SP2 in de huidige vorm)..

je zou het dus een soort van spottende nostalgie kunnen noemen :+

edit: M$ eenmalig vervangen door MS.. ik begrijp dat dit als 'goedkoop' wordt ervaren uit GoT forum, maar in de eerste instantie (en voorgaande post) was dit sarcastisch bedoeld, en had het dus als zodanig wel nut.. dit echter niet te verwarren met het ongebreideld flamen van alle MS producten.. wat schijnbaar wel zo wordt gezien als ik de meeste moderaties bekijk. jammer, dit gebrek aan inzicht, maar het was niet zo bedoeld ;)

NB dit was niet beledigend bedoeld, maar meer als instigatie niet mensen op keywords af te rekenen, maar ook proberen de boodschap te doorvorsen, ipv gewoon blind -1 doen |:(
Ehrm, de analoog aan GMail heeft net zoveel weg als de analoog in Yahoo! Mail bijvoorbeeld - ze bewaren allebei gegevens van jou op hun servers. Daarom heeft het niks met het indexeren van de emailtjes zelf te maken, alleen met het feit dat zij jouw emailtjes bewaren.
Nou ze beginnen inderdaad een beetje op Microsoft te lijken nu ze groot aan het worden zijn. Jammer hoor. Beetje doen alsof het probleem niet bestaat en pas oplossen als er tijd voor is...
software is nooit waterdicht en is nooit perfect. Zeker niet de eerste keer en misschien wel nooit. Microsoft kan windows nooit waterdicht krijgen en een eerste release van een dergelijke nieuwe functionaliteit is ook nooit waterdicht. Dat is gewoon een vaststaand feit, daar kun je vanuit gaan.

Wanneer je gaat geloven dat je programma's waterdicht zijn ben je kwetsbaar omdat je dan fouten er mogelijk niet meer uithaalt.
het ging me er om dat ze er al tweemaal eerder op gewezen waren maar er niets mee deden meteen.
Nee software is niet te snel uitgebracht.
Bugs zijn gewoon het resultaat van nieuwe software,
alleen een groot bedrijf kan ze minder goed veroorloven dat een kleiner bedrijf daar ligt het probleem.

Daarom proberen ze veel tools enz. vaak eerst een lange periode in een testfase houden.
Maar een programma/service reageert vaak heel anders als er veel meer users gebruik van gaan maken.
Aan de ene kant: Als Google echt ruim 2 jaar gewacht heeft met het squashen van die bug, is dat niet cool. Waarom? Zal vast niet zo ingewikkeld geweest zijn, leek mij aan de hand van het bericht.

Aan de andere kant: Google is nou eenmaal een gratis product. Tenzij jij ervoor kiest om de ads te klikken, maakt Google geen (weinig, ook goed, wil hier geen discussie over beginnen) winst op je. Dus van Google's zoekfunctionaliteit (die ook nog eens altijd hoger is als de concurrentie) verwacht ik andere kwaliteit als van Microsoft's besturingssystemen. Die vergelijking gaat gewoon niet op.

"Testing can show the presense of bugs, but not their absence." -- Dijkstra

Mooie quote El_Muerte_[TDS]! Ben ik het dan ook helemaal mee eens. Én Google's dektop-search is een Beta. Dat vergeten mensen ook vaak. Het heet niet voor niets zo.

Nog even voor de duidelijkheid: ik heb voor één dag gebruik gemaakt van Google's Desktop Search. En inderdaad, deze software geeft lokale zoekresultaten weer binnen Google's zoekmachine (http://www.google.vul_je_land_in dus). Daar is nog een discussie over geweest. Volgens de één was het een security-probleem, omdat alle gebruikers op je PC (in Windows 95/98/Me) de bestanden en e-mails zien in die interface. Google zei dat dit een "feature" was, zo zit de software gewoon in elkaar. Maar hierdoor is Desktop Search dus mogelijk kwetsbaar voor dezelfde bugs.

Trouwens, "Zoekengine Google heeft afgelopen week twee lekken gedicht", zoekengine? Zoekmachine en search-engine kende ik al, maar, eh, zoekengine?
Wat ik ook weet is dat de email gegevens van G-mail nooit verloren zullen gaan, alle prive teksten staan voor de ''eeuwigheid'' beschikbaar. Betekend dit dan ook voor een Desktop search, waarbij gegevens dan ook ''vereeuwigd'' worden. Als deze feature onderdeel word van een toekomst besturings systeem is de wet op persoonsgegevens een achterhaalde zaak. En zoals allelei ingebouwde handigheden, de nadelen komen altijd later in het licht.
Stel nu dat er virii op mijn hd zitten die meereizen met de zoekactie, of als er daadwerkelijk informatie wordt opgevraagd die niet aCKuraaD is of niet op int3gr|teit is gecontroleerd. Hoeveel vervuiling komt er dan in het zoek mechanisme? Het is al zo ondoorzichtig, waar de informatie vandaan komt, welk niveau ze heeft en of de gegevens ook correct zijn. Een zoekactie over een massa waarvan de gegevens niet gecontrolleerd zijn beteken -
of het maakt niets uit, gegevens zijn gegevens. Of het is een daadwerkelijke degeneratie van het resultaat.
Waar de wikipedia medewerkers hard werken om betrouwbare bronnen beschikbaar te maken, word elders de brabbel-lijn opengetrokken.

Ik zou graag inzicht willen hebben in het mechanisme van zoeken en het instand houden van de kwaliteit van het resultaat.
Google Desktop Search draait een Windows programma of service (weet ik niet zeker), en die indexeert je bestanden. Je communiceert met het programma via een web-interface, via een speciale port. Er wordt dus een server gedraait. Ik weet niet zeker of die vanaf andere ip's te openen is. Ik neem aan van niet, ze hebben er vast wel over nagedacht.

En de zoek-index blijft lokaal, het gaat niet naar Google toe. Je persoonlijke resultaten worden tussen de zoekresultaten geplaatst door Google Desktop Search, denk ik.

Controleer maar eens met een firewall ofzo hoeveel data Google Desktop Search ontvangt en verzendt. Ik denk niet dat daar een index van al je documenten tussen past.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True