Dziura w YouTube? Dla Google nie ma to żadnego znaczenia

Dziura w YouTube? Dla Google nie ma to żadnego znaczenia

Dziura w YouTube? Dla Google nie ma to żadnego znaczenia
Redakcja
11.03.2014 16:22

Bezpieczeństwo w czasach gdy podstawową aplikacją używaną na komputerze jest przeglądarka internetowa dająca dostęp do wielu różnych usług jest kwestią bardzo ważną. Nie chodzi tutaj tylko o bezpieczeństwo po stronie użytkowników, ale także samych witryn i aplikacji internetowych. Wystarczy przypomnieć głośne ataki i wycieki danych jak chociażby ten z Adobe aby zdać sobie sprawę, że na wiele rzeczy użytkownik nie ma wpływu, ale w przypadku działania osób trzecich one mogą mieć wpływ na niego. Ochrona aplikacji webowych powinna być więc bardzo ważna. Niestety, nie zawsze tak jest. Jak się okazuje, nawet udowodniona luka może być dla Google czymś zupełnie nieistotnym. To gigant, dlaczego mieliby się przejmować, prawda?

Obraz

Cała sprawa dotyczy serwisu YouTube. Przy próbie wysyłania do niego materiału wideo mechanizmy usługi sprawdzają, czy plik jaki wysyłamy jest poprawny i należy do tej grupy, która może zostać obsłużona przez serwis. W efekcie nie wrzucimy tam chociażby szkodliwego pliku exe. Zabezpieczenia te udało się obejść Nicholasowi Lemoniasowi, ekspertowi z dziedziny bezpieczeństwa z Uniwersytetu w Derby w Anglii. Osoba ta już wcześniej zgłaszała wielokrotnie różnego rodzaju luki bezpieczeństwa w firmach takich jak Microsoft, Adobe, Nokia czy Cisco. Poinformował on o odkrytej luce Google, przedstawił dowody na to, że umieścił na serwerze giganta spreparowane pliki lecz odpowiedź jaką otrzymał była zaskakująca: według pracowników korporacji nie jest to żaden poważny problem bezpieczeństwa, sprawa została zamknięta bez przekazywania jej do działu, który zajmuje się takimi problemami. Z samymi informacjami o luce można zapoznać się z oficjalnego raportu na jej temat.

Reakcja firmy na takie coś jest delikatnie mówiąc niepoważna. Sam zainteresowany wyraźnie zaznaczył, że nie może to być traktowane inaczej niż luka, skoro ktoś może umieścić na serwerze coś, co nie powinno się na nim znaleźć. W wiadomości email wysłanej do Google wspomniał także o dwóch ważnych zasadach: po pierwsze, dostęp do danych elementów powinien być sprawdzany przed wykonaniem jakiejkolwiek akcji, a po drugie, wszystko powinno działać z możliwe najmniejszymi uprawnieniami jakie są niezbędne do wykonania zadania. Ignorowanie luki przez Google w tym wypadku pokazuje coś więcej, niż tylko to, że teraz każdy następny odkrywca, niekoniecznie działający w dobrej wierze, będzie mógł ją wykorzystać. Jest to również swoisty sygnał pokazujący, że kiedyś podobna sytuacja może dotyczyć usług o wiele ważniejszych, chociażby poczty Gmail. Czy i wtedy Google zignoruje informacje i narazi na atak swoich użytkowników?

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (31)