Mekkora biztonsági probléma a Google WebAccelerator?
Korábban mindössze blogmarkban szóltunk a Google legújabb szolgáltatásának, a WebAcceleratornak a megjelenéséről. A windowsos alkalmazás a szélessávon netező felhasználóknak ígér gyorsabb böngészést, több technika egyidejű alkalmazásával.
Ezek közül az adatok tömörítése a kiszolgáló és a böngésző között nem új dolog, a legtöbb honlap használja is (mind az Apache, mind a PHP támogatja például), hasonlóképpen van ez a gyakran látogatott oldalak tárolásával, amely a proxy kiszolgálók régi szolgáltatása. Nem újdonság az előtöltés (prefetching) sem, amelyet egyes böngészők vagy kiegészítők már évekkel ezelőtt is használtak. Ami újdonságnak tekinthető, az a számtalan Google kiszolgáló bevonása a böngészés folyamatába: egyrészt ezek a nagysebességű kapcsolataikkal próbálják gyorsítani a böngészést, valamint a WebAcceleratoron keresztül lehetővé teszik egy kevesett változott oldal esetén csak az oldalon belüli változtatások letöltését.
Eddig minden szép és jó, a felhasználói visszajelzések szerint van akinek jelentősen gyorsított a böngészésén a WebAccelerator (ugyanakkor természetesen vannak olyanok is, akik nem tudtak észrevehető sebességnövekedésről beszámolni). Viszont a fenti listát átolvasva bárkinek rögtön feltűnhet egy dolog: a böngészésünk minden adata a Google programján és szerverein megy keresztül, beleértve nem csak a látogatott oldalakat (amelyekről így nagyon jó statisztikát készíthet a cég), hanem a sütiket, felhasználóneveket és jelszavakat is!
Ráadásul a Google itt talán beletenyerelt a dologba: azok akik már eddig is a magánadatok szentségének megsértése miatt aggódtak, most valóban felhördülhetnek. Több példa is tanúsítja, hogy a WebAccelerator a Google saját gyorsítótáraiban a felhasználói belépésekkel együtt eltárolt oldalakat hibásan más felhasználóknak is kiszolgáltatta. Fórumok esetében gyakran csak kényelmetlenséget jelent ha x. felhasználó y. adatait látja (természetesen ezzel is vissza lehet élni), ám honlapok adminisztrálásánál már komoly probléma lehet, ha egy nem jogosult felhasználó fér hozzá az adminisztrátorok eltárolt oldalaihoz.
A vakcina az aggódó webmesterek részéről igen drasztikus: a Search Engine Journal szerint a jó megoldás (egyelőre) a WebAccelerator IP-cím tartományának kitiltása. Emellett a https protokollal titkosított odalakat sem tárolja a Google gyorsítótár, tehát ennek használata is szóba jöhet. Persze a jó megoldás nem az, hogy az egész internet átállítgassa a szervereket, tehát a Googlenak minél hamarabb finomítania kell majd az algoritmusain...
Emellett felmerül az a kérdés is, hogy a PageRanket (egy oldal besorolását a Google keresési találatok között) hogyan befolyásolja majd, ha a webmestere a fenti módszerrel egyszerűen kitiltja a WebAcceleratort az oldalról. Ha a WebAccelerator kitiltása miatt egy oldal hátrébb kerül a találatokban, akkor valószínűleg igen sok, a bevételeket a biztonságnál fontosabbnak tartó webmesterrel találkozunk majd...
■ Ezek közül az adatok tömörítése a kiszolgáló és a böngésző között nem új dolog, a legtöbb honlap használja is (mind az Apache, mind a PHP támogatja például), hasonlóképpen van ez a gyakran látogatott oldalak tárolásával, amely a proxy kiszolgálók régi szolgáltatása. Nem újdonság az előtöltés (prefetching) sem, amelyet egyes böngészők vagy kiegészítők már évekkel ezelőtt is használtak. Ami újdonságnak tekinthető, az a számtalan Google kiszolgáló bevonása a böngészés folyamatába: egyrészt ezek a nagysebességű kapcsolataikkal próbálják gyorsítani a böngészést, valamint a WebAcceleratoron keresztül lehetővé teszik egy kevesett változott oldal esetén csak az oldalon belüli változtatások letöltését.
Eddig minden szép és jó, a felhasználói visszajelzések szerint van akinek jelentősen gyorsított a böngészésén a WebAccelerator (ugyanakkor természetesen vannak olyanok is, akik nem tudtak észrevehető sebességnövekedésről beszámolni). Viszont a fenti listát átolvasva bárkinek rögtön feltűnhet egy dolog: a böngészésünk minden adata a Google programján és szerverein megy keresztül, beleértve nem csak a látogatott oldalakat (amelyekről így nagyon jó statisztikát készíthet a cég), hanem a sütiket, felhasználóneveket és jelszavakat is!
Ráadásul a Google itt talán beletenyerelt a dologba: azok akik már eddig is a magánadatok szentségének megsértése miatt aggódtak, most valóban felhördülhetnek. Több példa is tanúsítja, hogy a WebAccelerator a Google saját gyorsítótáraiban a felhasználói belépésekkel együtt eltárolt oldalakat hibásan más felhasználóknak is kiszolgáltatta. Fórumok esetében gyakran csak kényelmetlenséget jelent ha x. felhasználó y. adatait látja (természetesen ezzel is vissza lehet élni), ám honlapok adminisztrálásánál már komoly probléma lehet, ha egy nem jogosult felhasználó fér hozzá az adminisztrátorok eltárolt oldalaihoz.
A vakcina az aggódó webmesterek részéről igen drasztikus: a Search Engine Journal szerint a jó megoldás (egyelőre) a WebAccelerator IP-cím tartományának kitiltása. Emellett a https protokollal titkosított odalakat sem tárolja a Google gyorsítótár, tehát ennek használata is szóba jöhet. Persze a jó megoldás nem az, hogy az egész internet átállítgassa a szervereket, tehát a Googlenak minél hamarabb finomítania kell majd az algoritmusain...
Emellett felmerül az a kérdés is, hogy a PageRanket (egy oldal besorolását a Google keresési találatok között) hogyan befolyásolja majd, ha a webmestere a fenti módszerrel egyszerűen kitiltja a WebAcceleratort az oldalról. Ha a WebAccelerator kitiltása miatt egy oldal hátrébb kerül a találatokban, akkor valószínűleg igen sok, a bevételeket a biztonságnál fontosabbnak tartó webmesterrel találkozunk majd...
Ránézésre
--
Aries
mellektermek
A felhasználói oldalról valószínűleg nem sok különbség van ez és más proxy használata között.
Google nem nagy erőforrással egy olyan szolgálttást biztosíthat ami tetszhett embereknek. Ez jó neki. Jobban fogja szeretni a Google-t mint márkanevet.
Hogy aztan adatgyűjtésben ez mit jelent abba max belülről lehet belelátni.
Kiváncsi vagyok vajon egy nyomozás során kiadadhatják-e Google-lel egy adott IP cím lekéréseit, megjegyzett kereséseit stb.
Azért az vicces lesz amikor egy bankrablási eljárás során oda tolják a gyanusított elé, hogy 2 hónapja a GoogleMap-ben a bank környékénak térképét kérte le és pajszer szóra keresett...
viszont