Identitätsklau mit Googles Web Accelerator
Googles Web-Beschleuniger loggt wegen des temporären Cookie-Cachings möglicherweise fremde Identitäten in Websites und Foren ein.
Ein viel beachteter Artikel auf ZDNet [1] berichtet über einen Vorfall, den ein Benutzer des Tools Google Web Accelerator [2] in den Google Labs Diskussionsforen [3] gemeldet hat. So fiel einem Nutzer beim Besuch der Futuremark-Diskussionsforen auf, dass er mit einer anderen als seiner eigenen Identität angemeldet war. Besorgniserregend: Zuvor war er mit dem Web Accelerator [4] auf diversen Seiten unterwegs gewesen, wo er sich mit persönlichen Informationen angemeldet hatte. Es lässt sich nur darüber mutmaßen, inwieweit dieses Sicherheitsleck schon zum Schaden Fremder ausgenutzt wurde.
Es bieten sich mehrere Maßnahmen zur Umgehung dieses Problems an. Die brachialste Lösung ist, den Web Accelerator nicht einzusetzen. Wer dennoch die Vorteile dieses Tools nutzen möchte, sollte Seiten, die Benutzer über Cookies identifizieren -- zum Beispiel Diskussionsforen, die ein automatisches Login über Cookies unterstützen -- von der Übertragung durch den Web Accelerator ausnehmen. Eine Einrichtungs-Anleitung findet sich auf den Hilfe-Seiten [5] von Google. Da das Tool SSL-Verbindungen von vornherein nicht verarbeitet, sollten zumindest empfindliche Daten, wie sie unter anderem beim Homebanking anfallen, sicher sein.
Google [6] bietet den Web Accelerator kostenlos als Betaversion an. Der Turbolader für das Web beschleunigt den Zugriff auf Websites, indem einige Google-Server als Proxy fungieren. Hierbei werden unter anderem Cookies der Nutzer temporär zwischengespeichert, was dieser unfreiwilligen Preisgabe persönlicher Daten Tür und Tor öffnet. Google hat bis jetzt auf dieses Problem noch nicht reagiert -- allerdings wies das Unternehmen in dem Privacy Statement zum Programm darauf hin, dass eben diese Cookies auf den Google-Servern kurzzeitig abgelegt werden. (Dirk Knop) / (cm [7])
URL dieses Artikels:
https://www.heise.de/-159393
Links in diesem Artikel:
[1] http://news.zdnet.co.uk/internet/security/0,39020375,39197327,00.htm
[2] http://webaccelerator.google.com/
[3] http://groups-beta.google.com/group/Google-Web-Accelerator
[4] https://www.heise.de/news/Web-Beschleuniger-von-Google-158875.html
[5] http://webaccelerator.google.com/support.html#preferences1
[6] http://www.google.de/
[7] mailto:cm@ct.de
Copyright © 2005 Heise Medien