IdentitÀtsklau mit Googles Web Accelerator
Googles Web-Beschleuniger loggt wegen des temporÀren Cookie-Cachings möglicherweise fremde IdentitÀten in Websites und Foren ein.
Ein viel beachteter Artikel auf ZDNet [1] berichtet ĂŒber einen Vorfall, den ein Benutzer des Tools Google Web Accelerator [2] in den Google Labs Diskussionsforen [3] gemeldet hat. So fiel einem Nutzer beim Besuch der Futuremark-Diskussionsforen auf, dass er mit einer anderen als seiner eigenen IdentitĂ€t angemeldet war. Besorgniserregend: Zuvor war er mit dem Web Accelerator [4] auf diversen Seiten unterwegs gewesen, wo er sich mit persönlichen Informationen angemeldet hatte. Es lĂ€sst sich nur darĂŒber mutmaĂen, inwieweit dieses Sicherheitsleck schon zum Schaden Fremder ausgenutzt wurde.
Es bieten sich mehrere MaĂnahmen zur Umgehung dieses Problems an. Die brachialste Lösung ist, den Web Accelerator nicht einzusetzen. Wer dennoch die Vorteile dieses Tools nutzen möchte, sollte Seiten, die Benutzer ĂŒber Cookies identifizieren -- zum Beispiel Diskussionsforen, die ein automatisches Login ĂŒber Cookies unterstĂŒtzen -- von der Ăbertragung durch den Web Accelerator ausnehmen. Eine Einrichtungs-Anleitung findet sich auf den Hilfe-Seiten [5] von Google. Da das Tool SSL-Verbindungen von vornherein nicht verarbeitet, sollten zumindest empfindliche Daten, wie sie unter anderem beim Homebanking anfallen, sicher sein.
Google [6] bietet den Web Accelerator kostenlos als Betaversion an. Der Turbolader fĂŒr das Web beschleunigt den Zugriff auf Websites, indem einige Google-Server als Proxy fungieren. Hierbei werden unter anderem Cookies der Nutzer temporĂ€r zwischengespeichert, was dieser unfreiwilligen Preisgabe persönlicher Daten TĂŒr und Tor öffnet. Google hat bis jetzt auf dieses Problem noch nicht reagiert -- allerdings wies das Unternehmen in dem Privacy Statement zum Programm darauf hin, dass eben diese Cookies auf den Google-Servern kurzzeitig abgelegt werden. (Dirk Knop) / (cm [7])
URL dieses Artikels:
https://www.heise.de/-159393
Links in diesem Artikel:
[1] http://news.zdnet.co.uk/internet/security/0,39020375,39197327,00.htm
[2] http://webaccelerator.google.com/
[3] http://groups-beta.google.com/group/Google-Web-Accelerator
[4] https://www.heise.de/news/Web-Beschleuniger-von-Google-158875.html
[5] http://webaccelerator.google.com/support.html#preferences1
[6] http://www.google.de/
[7] mailto:cm@ct.de
Copyright © 2005 Heise Medien