Im vergangenen Monat hat Євген Докукін – besser bekannt unter dem Pseudonym MustLive – auf seinem lapidar als “Websecurity” betitelten Blog über 100 Sicherheitslücken von 30 Suchmaschinen gelistet.
Meistens handelt es sich um sogenannte Cross Site Scripting bzw. XSS-Angriffe. Nicht einmal die Hälfte der Schwachstellen seien laut Angaben des Autors mittlerweile eliminiert. Und gerade einmal zwei Betreiber haben sich für seine Bemühungen bedankt.
Auf seinem Blog befinden sich auch Links, die zusätzliche URL-Parameter mit JavaScript Code den Suchmaschinen übergeben. Diese führten dann den Code aus und zeigen – im Fall von Google – dem “Angreifer” die FTP-Passwörter von YouTube-Usern.
Related posts:
Eine Anmerkung sei hier vielleicht gestattet. Suchmaschinen haben die Eigenheit, alle Informationen zu sammeln.
Anbieter wie YouTube haben dafür Sorge zu tragen, dass sensible Daten für Clients aller Art (dummer Mensch mit Browser, intelligenter Mensch mit Browser, Hacker, Suchmaschine, Skript, etc.) nicht erreichbar sind, wie Jens vom GoogleWatchBlog treffend bemerkt.
YouTube hat das dann auch gemacht. Doch hier kommt die zweite Eigenheit von Suchmaschinen zum Tragen: Caching.
Die Passwörter sind natürlich immer noch über Google einsehbar. Und damit kann man leider doch eine ganze Menge anstellen…