Kolejne problemy z Google Docs

Na początku tego roku dziennikarze serwisu wired.com poinformowali o wykryciu luki w usłudze Google Docs. Wada umożliwiała przeglądanie stworzonych przez użytkowników dokumentów przez osoby do tego nieuprawnione. Teraz sprawa ta ma swój kolejny etap: specjalistka do spraw bezpieczeństwa, Ade Barkah, opublikowała raport, w którym opisuje trzy kolejne luki jakie udało się jej znaleźć w popularnej usłudze giganta z Mountain View.

O wykryciu przez dziennikarzy wired.com wad w systemie zabezpieczeń Google Docs informowaliśmy w styczniu tego roku w artykule pt. "Luka w Google Docs". Po pewnym czasie amerykański gigant przyznał, że w serwisie rzeczywiście pojawił się poważny błąd. Przedstawiciele spółki zapewnili również, iż dokładają wszelkich starań, by zapewnić swoim użytkownikom maksymalną ochronę.

W ostatnich dniach specjalistka ds. bezpieczeństwa, Ade Barkah, poinformowała o kolejnych wadach znalezionych w systemie zabezpieczeń Google Docs. Po dłuższym czasie Google odpowiedziało na postawione zarzuty.

Pierwsza ze znalezionych wad dotyczyć ma zdjęć umieszczanych w serwisie. Do każdego obrazka załadowanego na serwer przypisywany jest specjalny adres WWW. Co ciekawe, ilustracje taką (zdaniem Barkah) mogą obejrzeć wszyscy użytkownicy posiadający dostęp do tego URL (nawet Ci nie mający uprawnień do przeglądania dokumentu w jakim został zamieszczony obrazek). Dodatkowo, plik graficzny pozostaje dostępny w sieci nawet po skasowaniu dokumentu, w którym został zamieszczony. Google na zarzut ten odpowiada wprost: obrazki nie są automatycznie usuwane z serwera, bowiem mogłoby to spowodować pewne problemy w systemie przypisywania adresów do plików. Jonathan Rochelle, przedstawiciel amerykańskiego giganta, radzi by za każdym razem kontaktować się z odpowiednim działem pomocy technicznej. Pliki zostaną wtedy ostatecznie usunięte z serwera i nie będą dłużej dostępne dla internautów.

Drugi błąd znaleziony przez Ade Barkah polega na tym, że jeśli użytkownik udostępnia innym dokument w którym znajduje się np. diagram z którego autor zdecydował się usunąć pewne informacje (np. mające charakter tajny), to osoby przeglądające plik są w stanie z łatwością przywrócić wszystkie poprzednie wersje wykresu i odczytać prywatne dane. Zdaniem Rohelle, problem ten da się łatwo naprawić. Wystarczy jedynie stworzyć wcześniej kopię diagramu i to ją udostępnić innym internautom (poprzednie wersje rysunku nie będą wtedy widoczne).

Ostatnia wada zaprezentowana przez Barkah polega na tym, że niektórzy użytkownicy którym odebrano dostęp do wglądu w określone dokumenty mogą w pewnych przypadkach go odzyskać. Przedstawiciel Google informuje, że problem ten związany jest z funkcją (zdaniem giganta z Mountain View wprowadzoną na życzenie samych użytkowników) pozwalającą osobom, które otrzymały dostęp do dokumentu na przekazanie uprawnień innym (bez wiedzy autora). Rochelle radzi, by opcję tą po prostu wyłączyć.

Co ciekawe, Ade Barkah twierdzi że swoje spostrzeżenia i wątpliwości wysłała do Google już 18 marca. Amerykański gigant opublikował odpowiedź na raport specjalistki dopiero w ostatnich dniach.

Przypomnijmy, że również amerykańska federalna komisja handlu ma wobec twórcy usługi Google Docs wiele zastrzeżeń. Jej przedstawiciele są zdania, że wszystkie usługi typu cloud computing oferowane przez Google są słabo zabezpieczone. Jako przykład specjaliści przytaczają fakt, iż na serwerach Google dokumenty przetrzymywane są jako zwykły tekst (a nie, jak w przypadku innych firm oferujących podobne rozwiązania) w postaci odpowiednio zaszyfrowanych plików. Pracownicy komisji złożyli sprawę do sądu, żądając wyłączenia wszystkich usług Google oferowanych na tej zasadzie, dopóki gigant z Mountain View nie poprawi swoich systemów zabezpieczeń (po więcej informacji zapraszamy do artykułu "Bezpieczeństwo w sieci: możliwe śledztwo przeciwko Google").