Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties
Bron: eWeek

FroogleEr is opnieuw een securitylek gevonden in een product van Google, deze keer zat het lek in Googles prijsvergelijksite Froogle. Het zoekbedrijf heeft zelf geen details bekendgemaakt over het lek, maar meldt wel dat het lek inmiddels gedicht is. De Israëlische veiligheidsonderzoeker en ontdekker van het lek Nir Goldshlager wil echter wel vertellen wat er aan de hand was. Volgens Goldshlager was het mogelijk om Googles cookies te stelen. Dit kon gedaan worden door een gebruiker via een URL, met daarin een stukje Javascript dat naar Froogle wijst, naar een bepaalde website te sturen en daar Googles cookies uit te lezen. Deze cookies bevatten gebruikersnamen en wachtwoorden van de Google Accounts-dienst, die door de zoeksite gebruikt wordt als gecentraliseerde loginservice voor enkele van zijn sites, zoals Google Groups, Google Alerts, Google Answers en Google Web API's. Er zijn plannen om de dienst uit te breiden zodat ook Google Adwords en een nieuwe e-commercesite gebruik gaat maken van Google Accounts.

Moderatie-faq Wijzig weergave

Reacties (27)

de bekende XSS bug die ook in MSN sites zat, waar je als je op de zone was aangemeld ook de coockies kon stelen, niet erg moeilijk te dichten en een verschrikkelijk domme fout van google, dit soort fouten (het niet parsen van javascript uit URLs) komt helaas ERG veel voor. Heb zelf wel eens complete sql queries door een URL zien vliegen ^^

In mijn ogen wint google hier niet echt vertrouwen mee, vooral omdat het om zo'n simpele bug gaat.
En hoe slimmer je wordt, hoe beter de programmeur en hoe groter de commerciele belangen, hoe stommer de fouten worden.
Zeg nou zelf, opeens werkt er iets niet goed op je computer, maar 5 minuten geleden werkte het nog wel, alles nagelopen, en alles staat nog goed, je had natuurlijk ook meteen even kunnen controleren of de netwerkkabel wel goed zat, of zoiets....
Wat ik bedoel te zeggen, hoe meer ik leer over computers en software, hoe makkelijker het wordt om het basale over het hoofd te zien.
daarom vind ik het in xp ook makkelijk dat hij het netwerkicoontje laat zien als de netwerkkabel verbroken is.
Kvind dat het nog meevalt, als je de url niet opende zou er nooit iets misgaan... Als je naar andere producten kijkt bevatten deze meestal bugs die je zo kunt exploiten... Ok, de gmail bug was ernstiger maar ja, bugvrije software is nog steeds een utopie volgens mij...
Soms hoef je nergens op te klikken, je kunt ook een site maken en deze url als plaatje in je site stoppen, niemand die het doorheeft.
Ach, het is net als met microsoft. Op het moment dat een bedrijf belangrijker wordt en meerdere diensten aanbied hebben meer mensen er een mening over, en gaan meer mensen proberen fouten te vinden. Volgens mij dichten ze alle lekken tot nu toe behoorlijk snel.
Ik vind google een prima bedrijf, dat ze hun prioriteit moeten verleggen is niet echt reeel. Het lek is al gedicht, en dat is een stuk sneller dan bv microsoft doet.
Ze willen echt niet dat hun naam besmeurt word door een BETA versie van een site (mogen dus nog bugs inzitten) en lossen het daarom snel op.
Het zou erger zijn geweest als Froogle uit het betastadium zou zijn.
Er staat alleen beta omdat er in beide producten nog legal isues zijn met content. En niet van uit de techniek
Het is niet te hopen, dat Google haar aandacht laat verslappen nu ze zich op zoveel projecten aan het storten zijn. Is dit misschien een waarschuwing voor ze? Schoenmaker blijf bij je leest!
Tja, Google houd ongeveer alles in Beta-fase

Zo kan ik het ook wel..
Er mogen best fouten inzitten het is toch beta
Misschien moeten ze bij google toch maar eens de priortiteiten gaan verleggen van marketing naar security..... |:(
Kom op zeg, 1 bug.
Google Groups, Google Alerts, Google Answers en Google Web API's
Wel een bug die het mogelijk maakt om veel persoonlijke gegevens te achterhalen achter bepaalde nicknames.. Bugs die je persoonlijke privacy aantasten worden wel vaker verzwegen.. Maar ja.. site is ook duidelijk BETA :)
Sowieso is passwords in cookies opslaan not done toch?
In cookies kunnen ook session ID's staan opgeslagen (Zoals bijvoorbeeld hier bij Tweakers wordt gedaan). Ik denk dat ze dat bedoelen. Steel je namelijk die cookie, ben je meteen ingelogd als je die site bezoekt, extra gevaarlijk dus.
Denk je?
Deze cookies bevatten gebruikersnamen en wachtwoorden van de Google Accounts-dienst,
Sessies blijven niet eeuwig geldig. Als je een auto-loginfunctie wilt maken dan moet het wachtwoord op de een of andere manier in de cookie zitten om het automatisch inloggen (dus het aanmaken van een nieuwe sessie) mogelijk te maken zonder verdere tussenkomst van de gebruiker.
Misschien is google niet zo gesloten over fouten als andere bedrijven, en misschien hebben ze wel minder lekken in hun software dan andere bedrijven, maar komen die er gewoon niet voor uit
Misschien is google niet zo gesloten over fouten als andere bedrijven
Het zoekbedrijf heeft zelf geen details bekendgemaakt over het lek, maar meldt wel dat het lek inmiddels gedicht is.
Als "Nir Goldshlager" er niet over was begonnen had Google waarschijnlijk ook wel haar mond gehouden hoor......
geef ze es ongelijk....

bovendien denk ik dat dat meerdere bedrijven doen hoor
[MS denk ik bv]
Misschien moeten ze bij google toch maar eens de priortiteiten gaan verleggen van marketing naar security.....
Nou dat doen ze toch ook netjes. Ze dichten de gaten meteen voordat ze bekend zijn bij het grote publiek. Best netjes /snel.

Google en co heeft wel meer bugjes gehad maar dat krijg je als je programeert. Maar ik vind dat ze als bedrijf uitstekend en snel reageren op bug/exploit meldingen. Je kunt immers niet alles voorzien.
Let wel dat googles niet alleen afhankelijk is van zijn eigen programeer bugjes maar ook van 3rd party apps = nl. de browsers. Ze moeten ook rekening houden met security issues van IE, Firefox etc.. en rekening houden met iemands anders bugjes + je eigen bugjes maakt het werk ook niet makkelijker op.

Ik wou dat M$ met IE de zelfde ijver exploits zou verhelpen.
Dat is een non-argument: wie weet hoe lang het lek al bestond en bekend was in de underground. Kijk naar Blaster: die was al gedicht voordat het virus uitbrak, maar toch wist het grote publiek van niets waardoor ze geen updates uitvoerden, waardoor het virus een groot succes (nou ja) was. Je moet dus kijken hoe lang het al ontdekt was, en niet hoe lang je het zelf al wist...
Het verschil met de blaster is dat als google het probleem verhelpt daarna ook voor ALLE gebruikers meteen verholpen is (immers is de oplossing server side!)...

Dit in tegenstelling tot patches die individueel geinstalleerd moeten worden op alle PCs. (gezien niet alle mensen hun PC-OS netjes op tijd updaten, foei!)
Je vergelijking met de blaster virus is dus appels met peren vergelijken in dit geval.

Let wel dat je een probleem pas kan oplossen als je er het bestaan van weet: Het is gemeld. Het is Opgelost. Netjes IMHO.

En in zijn algemeenheid staan te roepen dat het probleem er nooit had mogen bestaan is totaal zinloos, non-constructief en imho dom.

In computerprogramma's zitten fouten. En die zullen er altijd in blijven zitten zolang ze door mensen worden geschreven.
Zelfs als computers de programma's zouden schrijven zouden er nog steeds fouten in zitten omdat er MENSEN de computers in elkaar hebben gezet CQ ze hebben geprogrammeerd.

Wat belangrijk is van een bedrijf is:
1. Secuur te werken, testen etc. Dit verminderd de kans op fouten en dus ook de totale hoeveelheid fouten. Desal niet te min zullen er dus altijd fouten aanwezig zijn.
2. De afhandeling indien een fout geconstateerd worden. Oftewel Snel en adequaat handelen.
3. De afhandeling ten opzichte van de klant aan de hand van de fout. Oftewel PR. Hoewel punt 3 niets met programeren te maken heeft bepaald het veel over tolerant mensen zijn ten opzichten van de mogelijke problemen.
@a.prinsen:
Ik weet ook wel dat Blaster niet hetzelfde is als een lek; dat was enkel om aan te tonen hoeveel tijd er tussen het vinden, patchen en bekendmaking en effectieve oplossing kan zitten. Voor blaster werd het in juni gepatcht, geloof ik, dus was het al wat langer ontdekt, en pas tegen juli/augustus was Blaster bekend bij het publiek, tegen september dan weer iedereen immuun. Dat zijn dus drie maanden ongeveer, tussen het ontdekken en het eigenlijke fixen.
Dat wij pas weten van het bestaan, wilt niets zeggen, dat is mijn punt. Wij moeten het ook niet fixen, Google moet het fixen, dus zij moeten het weten of zelf het initiatief nemen om controles uit te voeren. Het zal echt niet op een uurtje gefixt geweest zijn, en soms wordt het pas gemeld nadat het in de underground ontdekt wordt.

Ik zeg overigens ook niet dat het vreselijk is als er ergens een lek ontdekt wordt. Die dingen gebeuren nu eenmaal, inderdaad moeten ze genoeg testen.
Zelf vind ik het vooral spijtig dat ze niet open communiceren over het lek, maar helemaal begrijpelijk voor een bedrijf dat op de beurs zit.
froo·gle (fru'gal) n. Smart shopping through Google.
Ik vraag me af of Google Desktop Search gebruik maakt van dezelfde api's en daarmee ook potentiele exploits?
Jonge, jonge, zeg, 'k ben blij dat Google WEL dit soort problemen oplost, in tegenstelling tot een aantal diensten van Microsoft en een aantal grote bedrijven in Nederland. Men reageert er niet op OF men lacht je keihard uit.

_O_ Google!


Wacht, 'k stuur er ook wel een naar Google, kijken of ik binnen een week ook in het nieuws sta :)

[edit]
Okay, mailtje een uurtje geleden gestuurd, kijken wat ze er op te zeggen hebben O+ :Y)

[edit2]
Woei :)
___________________________
Mr. *****,

Thank you for taking the time to report this to us. We've forwarded
this to our Groups2 engineering team for investigation and response.

Sincerely,
Google Security Team
ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ

Meer informatie natuurlijk niet voordat het probleem is opgelost 8-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True