Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Bron: Ph3rny's Blog

Gmail logoEnkele dagen geleden heeft een 14-jarige scholier met de naam Anthony een lek gevonden in Googles Gmail-e-mailservice. Normaal is het zo dat bij Gmail Javascript in ontvangen e-mailberichten wordt uitgeschakeld, maar door een bug in de Gmail-software werd dit in bepaalde gevallen niet gedaan. Door deze flaw was het mogelijk Javascript-code te draaien in Gmail, waardoor de mogelijkheid ontstond om kwaadaardige code rond te sturen om zo bijvoorbeeld toegang te krijgen tot Gmail-cookies. De scholier vond het lek doordat hij wat Javascript-code heen en weer e-mailde tussen zijn Yahoo- en zijn Gmail-account. Vrij snel na het bekend worden van het lek is een reparatieploeg van Google langs geweest die een en ander gedicht heeft. Doordat dit zo snel heeft kunnen plaatsvinden, is de kans niet groot dat er misbruik is gemaakt van het lek. Google had echter graag gezien dat Anthony het gevonden lek eerst aan Gmail bekendgemaakt had en het bedrijf tijd had gegeven om het te fixen, en het daarna pas aan de grote klok te hangen.

Moderatie-faq Wijzig weergave

Reacties (59)

Zo zie je maar weer, de jeugd wordt steeds vroeger inventief :)
Ik vraag me alleen wel af wat er nou echt had kunnen gebeuren, aangezien het stukje JS in het previewstukje niet werd uitgefilterd, en dat is hoe lang, 100 tekens?
Gezien code en ook in Javascript enorm veel kan veroorzaken, kun je er van uitgaan dat er heel wat hat kunnen gebeuren.

Denk bijvoorbeeld eens aan encryptie, deze had makkelijk gelezen kunnen worden.

Om je een beeld te geven, kun je met 2 simpele regeltjes aan code bijvoorbeeld in PHP of C++ een hele website lam leggen of zelfs je hele systeem.

Wijzig maar eens 1 waarde in je register van windows (niet aan te raden)
Kijken of het je dan duidelijk wordt, hoe belangrijk gestructureerd programmeren is en hoe belangrijk het is om constant te tetsen voor je een stukje software op de markt brengt.

Daarom is het ook heel makkeijk voor een programmeur om iedere dag een nieuwe virus te schrijven. Gelukkig met de beveiligingen die er voor worden geschreven wordt het wel steeds lastiger uiteraard.

Maar zelfs 10 tekens of 1 teken in een stukje programmering kan veel uitmaken.

Stel je voor dat je 1000.00 euro van de bank kreeg overgeschreven, maar het had eigenlijk 100.00 euro moeten zijn.

Same thing.
Met PHP een server lam leggen kan, maar als de server goed geconfigt is dan zullen scripts afgekapt worden als ze te lang draaien..

in c is het 1 regel :

while(true) {};

(alhoewel misschien pakt gcc deze er uit )

In assembler (generic style)
LOOP: Branch LOOP

Je kunt je lol op. Het windows register is gewoon bout daar moet de wereld gewoon vanaf.

En wat je noemt over encryptie.. Helaas... Eenmaal geëncrypt kun je net zulke brakke code hebben die je wilt, decrypten blijft moeilijk, behalve als de encrypter of de decrypter de sleutels voor het oprapen geeft
kun je met 2 simpele regeltjes aan code bijvoorbeeld in PHP of C++ een hele website lam leggen of zelfs je hele systeem
zelfs met een regeltje: format d: :z
Met format D: is je systeem niet lam, je systeem is dan D: aan het formatten.. prima toch :)
Er zit een verschil tussen een systeem dat vast zit in een loop ofzo, en een systeem dat prima werkt maar toevallig op de C: prompt staat te idlen..
wat dacht je van

2 ^ 32 afgeschreven ipv 2 ^ 31
Een stukje JS kan een ander stukje JS binnenhalen en uitvoeren. In 100 tekens moet dat volgens mij wel lukken.
Het is per toeval ontdekt toen hij wat javascript overstuurde. Kan eigenlijk iederen gebeuren dus... Hij vond iets en dacht er verder niet over na (behalve door het op zijn blog te posten).

Google heeft het tenminste snel kunnen dichten, en laten we vooral niet vergeten dat gmail nog in de beta fase is :)
Dat wordt hèt excuus van 2006, "het is in beta".
Voipbusters, Skype-in, Google mail, en alle ander beta's zijn gewoon een slimme manier om verantwoordelijkheid van je af te schuiven.
Zal me niks verbazen als straks Vista als beta verkocht wordt. :+
Het 'ergste' is dat ze gewoon gelijk hebben. Het zijn en blijven gratis diensten :) Bij Vista bijvoorbeeld werkt het gewoon niet zo :P
Gratis is geen argument. Dat de consument er niet rechtstreeks voor betaald wil niet zeggen dat zo'n dienst geen inkomen genereert. En dan nog. Men brengt het uit, dan kun je op zijn minst verwachten dat het werkt.

Ik zie dan ook eigenlijk geen verschil tussen bv hotmail of Gmail. Ook het gedoe van invites "omdat het beta is" irriteert mij mateloos aan gmail. Release het of dump het maar een product jarenlang in Beta houden slaat echt nergens op. Maar het is wel makkelijk. Op die manier kunnen je gebruikers nergens over klagen. GMail misbruikt gewoon de beta status om de rechten van de gebruikers te minimaliseren. Te triest voor woorden.
Ik vond het juist geniaal dat ze de invite-manier hebben gebruikt.

Op die manier verzeker je ervan dat de userbase niet direct uit de klauwen begint te groeien. Of dacht je dat ze gelijk tig terabyte aan opslag hadden staan om een enorme rush te ondersteunen. GMail zou dan niet het eerste project zijn dat aan zijn eigen success ten onder gaat. (zoals bijv. superweb). Zij waren namelijk de eerste die 1GB opslag beloofde voor je mailbox.

Tevens diende het invite-systeem nog een ander doel (denk ik, heb nooit een bron kunnen vinden). Daarmee kan je prima het sociale netwerk van GMail gebruikers vastleggen. Je weet precies wie wie kent (zeker van de eeste 5 invites die je kan doen), kijken of ze elkaar nog mail sturen (zonder naar de inhoud te krijgen) en de informatie gebruiken om een beter (of ander) product in elkaar te zetten of te verkopen (ja, ook GMail moet ergens van betaald worden!!)

Tevens zijn er genoeg alternatieven, dus je er aan irriteren is imo onzin. Zonde van je tijd..
Op die manier verzeker je ervan dat de userbase niet direct uit de klauwen begint te groeien.
Fifty Gmail Invites on the wall. Fifty Gmail invites...

Het heeft niet alleen te maken met het langzaam ombouwen van ruimte voor opslag, maar ook dat Google in 90% van de gevallen relaties kan leggen tussen verschillende gebruikers en (op de lange termijn) een profiel van de gebruiker en zijn vriendenkring kan maken, waarop advertenties kunnen worden afgesteld.
@Gunp01nt

Hoezo? je gaat akkoord met een gebruiksovereenkomst zodra je bijvoorbeeld gmail gaat gebruiken. Daarin staat onderandere dat Google gerichte reklame naast je berichtvenster mag plaatsen op basis van de inhoud van jouw mail.

Google neemt daarmee rechten en dat schept ook zeker plichten van hun kant.

Je betaalt dus wel zeker, het is echter niet in de vorm van geld.


Overigens vind k dat Google correct heeft gehandeld. Na constatering hebben ze het probleem z.s.m. verholpen. Meer kun je eigenlijk niet verwachten van Google. En als die 14 jarige het netjes had gedaan, dan had een bedrijf hem waarschijnlijk bij naam en toenaam genoemd wanneer ze een ersbericht uit hadden laten gaan hierover. Of ze hadden hem ruimschoots beloond met de belofte zijn snuit dicht te houden tegen de rest van de wereld.
Misschien moeten ze de google zoekmachine ook Beta maken (alsof ze een versie 2 maken), scheelt een hoop rechtzaken denk ik :)
Op die manier kunnen je gebruikers nergens over klagen. GMail misbruikt gewoon de beta status om de rechten van de gebruikers te minimaliseren.
Zolang je niet betaalt voor een dienst, is een bedrijf jou niks, maar dan ook niks schuldig. Ik heb een hekel aan dat consumentistisch gezeik dat alles perfect en snel moet zijn, en nog gratis ook. En al helemaal het argument dat Google er indirect geld aan verdient. Zolang jij als gebruiker niet betaalt, zijn ze jou niets schuldig. Punt uit.
Ja en dan zijn er websites zoals deze:
http://isnoop.net/gmail/

en dan is je hele relatie informatie weer nutteloos geworden.

Edit: reactie op zepman
@Zepman;
Onzin, dat kunnen ze ook door te kijken naar wie je emailt. en dat doe je veel vaker dan een invite sturen/krijgen. Bovendien verstuurden heel veel mensen hun invites aan mensen die er om vroegen in fora's en helemaal in het begin waren ze goud waard...
De argumenten van Zepman zijn anders best goed. Dat van de vele gemail invites kwam later pas en tot die tijd was het echt in de trand van 'je moet iemand kennen'. Hiermee was zeker in het begin alles gelimiteerd en kon google makkelijk de populariteit peilen en het makkelijk bijhouden (omdat ze konden aangeven hoeveel gig er beschikbaar zou zijn voor email accounts en gebaseerd daarop invites uitgeven).
@Gunp01nt

Dus als ik onveilig vuurwerk op straat ga weggeven ben ik niet aansprakelijk voor de verwondingen die dat tot gevolg heeft? Natuurlijk wel. Je levert een product en dat product dient te doen wat je ervan verwacht.

Overigens is dit niet zozeer kritiek op Google. Google levert met gmail een aardig product af wat redelijk functioneert. Maar als mensen gaan roepen dat je niet mag klagen omdat het "gratis" en "beta" is, wordt ik wel erg moe. Maar het wordt wel hoog tijd dat Google Gmail eens officieel lanceert. Een eeuwig durende beta status kan gewoon niet.
Zolang je niet betaalt voor een dienst, is een bedrijf jou niks, maar dan ook niks schuldig. Ik heb een hekel aan dat consumentistisch gezeik dat alles perfect en snel moet zijn, en nog gratis ook. En al helemaal het argument dat Google er indirect geld aan verdient. Zolang jij als gebruiker niet betaalt, zijn ze jou niets schuldig. Punt uit.
Helemaal mee eens, mijn moeder zat laatst ook te zeuren over de reclame in haar hotmail account.

"En als ik nou helemaal geen reclame wil dan? Ik vind het wel dom dat ik dat niet kan uitschakelen"

Het scheelde niet veel of mijn lieve ma had een serieuze bitchslap in haar gezicht gekregen...
Het is gratis, het is beta. Klagen moet je niet doen, bugs aangeven wel. Het wordt toch nog steeds ontwikkeld en er komt toch nog steeds nieuwe functionaliteit bij? Beta op gmail is een gerechtvaardigde titel. Eigenlijk is beta op veel software een gerechtvaardige titel totdat besloten wordt dat het 'stabiel' is. Het als stabiel verklaren heeft tot gevolg dat er meer mensen gebruik van zullen maken (en waarschijnlijk dus meer zal verdienen, direct of indirect) maar dit schept ook plichten voor google. Google heeft gewoon zoveel dingen dat het gewoon riskant is om veel dingen uit beta te halen totdat je absoluut zeker weet dat het werkt. Anders is het financieel gewoon niet te doen.

Qua aansprakelijkheid. Google geeft email adressen weg, als het het niet doet zouden ze NIET aansprakelijk zijn want iedereen heeft zich VRIJWILLIG aangemeld en is akkoord gegaan met een TOS (nu weet ik niet precies wat daarin staat, maar ik heb het vermoeden dat er in ieder geval iets in staat in de trand van 'wij zijn niet aansprakelijk voor eventuele schade'). Ongeveer hetzelfde dus als je je aanmeld als menselijk proefkonijn voor één of andere medicatie.

Om de vuurwerk vergelijking te gebruiken. Voordat je het vuurwerk in ontvangst neemt wordt je gewaarschuwd en ga je ermee akkoord dat de distributeur niet aansprakelijk is voor eventuele schade (verwondingen). Je kunt de twee niet echt vergelijken. Maar zo is hoe het werkt met gmail.

@ The - DDD
Je gaat akkoord met een gebruikersovereenkomst en daarom mag je gmail gebruiken! Google neemt rechten op en eventuele plichten staan in de TOS waar je aangeeft dat je het mee eens bent (en ik heb het donkerbruine vermoeden dat daarin staat dat ze geen plichten hebben, behalve misschien het tijdelijk aangeven als de dienst stopt). Het feit dat google iets mag doen betekent niet dat ze iets aan jouw verplicht zijn, die twee zijn niet met elkaar verbonden.
Het was een supersimpel lek, vreemd genoeg werd in mailtjes afkomtig van Yahoo, het subject niet gefilterd op html/javascript. Daardoor was in de Subject Javascript uit te voeren.
Google had graag gewild dat het eerst hun werd gemeld, maar in dit geval had hij het nou niet echt bepaald wereldkundig gemaakt van zichzelf. Hij heeft het op zijn Blog gezet, dat is op zich niet helemaal een top idee, maar dat kan je toch niet direct 'publiceren' noemen?

Als ik nou op mijn grote raam een papiertje hang met deze bug-uitleg plus voorbeeld, dan moet je maar hopen dat er mensen zijn die je Blog raken die dat hebben begrepen.
Dus iets op een openbaar blog zetten waar de hele wereld bij kan is niet publiceren volgens jou? In mijn boekje anders wel. Tuurlijk, het is niet alsof hij een persbericht heeft doen uitgaan naar Reuters maar binnen de mogelijkheden van een 14-jarige vind ik dit toch echt wel vallen onder publicatie.
De beste jongen is 14, google had liever gezien dat hij de bug eerst gemeld had, laat me niet lachen, ze mogen blij zijn dat die jonge het uberhaupt achteraf naar google heeft gestuurd. Het blijft tenslotte vrijwilligers werk :)
Hoe simpel de bug ook mogen wezen, hoe oud, de eerder genoemde "koter", dan ook mag wezen, feit blijft dat het dus al een tijdje onbeschemrd is geweest waardoor god mag weten wat voor troep er nu op je pc rondwaart.

Als de bug dan werkelijk zo simpel zou zijn, dan neemt Google een stukje in waarde af met zijn diensten, want je kan ook concluderen dat ze te snel nieuwe diensten op zetten, te lang in beta laten en dat men ondertussen wereldwijd wel nieuwe accounts verspreid.

Iets waar ik niet mee blij mee ben, ook al is het freeware, het mag toch wel degelijk zijn. Zo zie je maar, niet alles wat gratis is is goed en hiermee zien we een stuk flaw wat betreft Google, zoals ook al steeds meer hun zoekmachine onder druk komt te staan doordat vuil steeds hoger op de lijst staat in hun zoekmachine, praat ik alleen al even over de Kelkoo troep die hoog op de ranglijst opduikt.

Gevaarlijke ontwikkeling lijkt me voor zowel Google, beursgenoteerd, en de consument, gebruiker ervan. Ik zie liever enkele goeie produkten dan een zooi wat maar half werkt :?
Ik zie liever enkele goeie produkten dan een zooi wat maar half werkt
Dit mag je best een beetje relativeren natuurlijk. Gmail wordt wereldwijd gebruikt door miljoenen users, en volgens mij is dit het eerste serieuze lek die bovendien binnen korte tijd gefixt werd.

Bugs heb je overal, die hebben we bij Hotmail bijvoorbeeld ook vaak zat gezien. Het is beter om een dienst te hebben met een aantal bugs die in korte tijd opgelost worden, dan een dienst met maar 1 bug die pas na 2 maanden weggewerkt wordt, toch?

Uiteindelijk heeft (waarschijnlijk) niemand deze bug kunnen exploiten, dus heeft Google naar mijn mening gewoon goed werk geleverd.
Jouw verhaal kan je voor elk stuk software doen waar een bug in ontdekt wordt. Software blijft -hoe grondig getest ook- altijd gevoelig voor bugs. Misschien is dit nieuws voor je, maar je hebt enorm veel software op je PC die allerlei mogelijke 'exploitable bugs' heeft. Kortom: je PC is eigenlijk ten alle tijden onbeschermd (!)
Ach, het zegt niks over de intelligentie van dat jochie, maar misschien meer over de eenvoud waarmee het lek te ontdekken viel...
Het verhaal verteld mij wel wat over de intelligentie van die knaap:
Google had echter graag gezien dat Anthony het gevonden lek eerst aan Gmail bekendgemaakt had en het bedrijf tijd had gegeven om het te fixen, en het daarna pas aan de grote klok te hangen.
Dan ben je niet echt intelligent als het je alleen maar om het "verhaal" gaat en niet het risico + gevolgen in kan zien.
Moch, vaak heb je er ook niks aan om een bug gewoon te melden bij een bedrijf. Als het uberhaupt wordt opgelost (zie maar eens contact te vinden met de juiste persoon), krijg je er vaak niks van terug.

Nou doe je het ook niet direct om er iets voor terug te krijgen, maar een bedankje met een klein presentje van het bedrijf zou leuk zijn. Zelfs al is het maar een muismat.
Moch, vaak heb je er ook niks aan om een bug gewoon te melden bij een bedrijf. Als het uberhaupt wordt opgelost (zie maar eens contact te vinden met de juiste persoon), krijg je er vaak niks van terug.
Aangezien die scholier zelf een gmail account heeft, heeft natuurlijk wel degelijk iets aan het melden van een bug. Je moet niet gaan klagen dat er bugs in een programma zitten, als je zelf geen bugs doorgeeft als je die vindt.

Anderzijds hoef je natuurlijk ook geen eeuwigheid te wachten totdat het bedrijf de bug heeft opgelost, maar je kan ze best een paar weken geven.
Nou doe je het ook niet direct om er iets voor terug te krijgen, maar een bedankje met een klein presentje van het bedrijf zou leuk zijn. Zelfs al is het maar een muismat.
Wie zegt dat deze knaap geen bedankje gehad zou hebben als hij het gewoon netjes meld?
En contact opnemen moeilijk? Gewoon naar het algemene adres een mailtje sturen, wordt er niet gereageerd binnen een redelijke tijd dan kan je er altijd nog voor kiezen om het aan de grote klok te hangen.
Dan ben je niet echt intelligent als het je alleen maar
Of juist wel, wie hebben er op hun 14e nou al hun "15 minutes of fame" binnen?
dat je "15 minutes of fame" krijgt bewijst niet je intelligentie ;)
Die passage geeft eerder aan dat de knaap beoogde het lek gedicht te krijgen. Als hij het aan Google gemeld had, zou hij op z'n gunstigst een aardig studiefondsje met zwijgplicht aan de zaak hebben overgehouden en zat dat lek er nu nog in. Op z'n ongunstigst was hij in een cel beland met eoa verzonnen aanklacht. De zogenaam tegen terrorisme bedoelde wetgeving daar impliceert immers de facto dat iedereen zonder beschuldiging of zelfs maar verdenking voor onbepaalde tijd kan worden opgesloten. In de US kan iemand die zijn vrijheid lief heeft een corporate opponent alleen veilig tegemoet treden met de protectie van maximale media-aandacht.
Het zegt volgens mij inderdaad niets over de intelligentie van die jongen. Het is gewoon puur geluk dat het ontdekt werd.

Daarbij, Gmail is nog in bèta. Ik weet dat ze al erg lang in bèta zijn, maar ik vind dat je dan toch zeker een lek eerst moet melden aan het bedrijf zelf. Als je als bedrijf zegt dat iets nog in bèta is, dan vind ik dat je er als klant sowiso niets op kan zeggen als er nog fouten in zitten. Zelfs al zit die software 20 jaar in bèta. Als je zo´n software gebruikt, neem je dan ook dat risico.

Dus conclusie:
- Hij had het moeten melden
- Op zich geen probleem, want het is bètasoftware
- Goed dat het snel gefixed is
- Ergens wel spijtig dat Google zich achter die bèta blijft verschuilen.
maak maar eens twee gmail accounts met verschillende naam, maar zelfde wachtwoord. Cookies aan laten staan en na uitloggen van eerste account proberen in te loggen op tweede account. Je krijgt dan de mails van account 1 weer te zien, ondanks dat je een andere usernaam op hebt gegeven. zo spannend is dit hele verhaal dus niet, er zullen vast nog wel meer bugs in deze eeuwige beta software worden gevonden.
In de titel staat 1 keer "door" te weinig!
Google dicht door door 14-jarige gevonden Gmail-lek
Raar... Vanmiddag om pakweg 16.00 uur misschien eerder, want ja ik ben ook maar een mens, heb ik ditzelfde bericht aan tweakers.net gegeven (weliswaar van een andere site, maar dat neemt de news waarde niet af) en nu zien ik tot mijn verbazing dat om 01.32 (de volgende dag) er een nieuws item van is gemaakt, alleen met een compleet andere naam/site/verhaal/ etc.

Leest tweakers zijn nieuws submits niet, vinden ze "Skaars" maar geen goede naam of iets anders... lijkt mij handig om die blijkbaar waardeloze "submit functie" uit de site te slopen.

<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;">Admin-edit:
Commentaar m.b.t. nieuwsposts hoort thuis in het
Tweakers.net Frontpage Algemeen Forum.</div>
Dat je je tijd daar al aan besteedt. Ik vind het al knap dat ik hier post :)
Juist! Het is zeker jammer dat het soms zo lang moet duren! Op nu.nl had je dit al kunnen lezen om 11.15 vanochtend!
Misschien een tip om iemand elke dag nu.nl te laten checken? :)
jullie snappen mij heren... mijn dank. amen
Altijd weer die scriptkiddies :+

Google wil graag haar imago hoog houden... gewoon lekker even aan de grote klok hangen.

Waar gewerkt wordt vallen er toch immers wel spaanders !
waar gehakt wordt, niet waar gewerkt wordt :)
Zonde van zo'n serverpark.... hakken :+
Het is ook niet hakken maar hacken :P :+

/nutteloze reactie
Conclusie: Gmail is bij elkaar gehackt prutswerk }>

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True