1016720

Google spielt Sicherheitsprobleme von Google Docs herunter

31.03.2009 | 13:09 Uhr |

Angeblich deckt die veröffentlichte Mängelliste von Google Docs keine signifikanten Sicherheitslöcher auf und sollte somit keine schlaflosen Nächte auslösen. Aber mit diesen Sicherheitsbedenken für Google Text & Tabellen hat Google es zum dritten Mal in nur einem Monat in die Negativ-Schlagzeilen geschafft.

Google Docs
Vergrößern Google Docs

Ade Barkah, Gründer der Unternehmensberatung Bluewax in Toronto, hat einen Mängelbericht für Google Docs ( Google Text & Tabellen ) veröffentlicht. Darin kritisiert Barkah gleich drei Arbeitsabläufe, wie in der Anwendung Dokumente und Bilder für andere Anwender freigegeben, Zeichnungen erstellt und Dokumentversionen veröffentlicht werden.

Innerhalb von nur wenigen Stunden reagierte Google darauf mit einer vorläufigen Mitteilung, dass die Bedenken untersucht werden, aber Google diese nicht als signifikante Sicherheitslöcher einstuft. Dennoch hat Google offensichtlich sich Barkahs Mängelbechreibung zu Herzen genommen und prompt die Hilfe-Dokumentation revidiert.

Jonathan Rochelle, der Produktmanager für Googles Text & Tabellen, hat am Tag darauf in einem Blog Barkah für die Meldungen gedankt und angedeutet, dass Googles Entwickler an Design-Alternativn arbeiten, welche die gemeldeten Sicherheitsprobleme und ähnliche Mängel beheben könnten.

Eingebettete Bilder sind nach Löschen des Dokuments noch verfügbar

In der veröffentlichten Stellungsnahme weist Rochelle Bedenken zurück, dass jedes eingebettete Bild seine eigene URL erhält und damit auch nach Löschen des Dokumentes noch verfügbar ist. "Diese URL ist nur den Anwendern bekannt, die vorher bereits Zugang zu dem Bild hatten und es jederzeit laden und speichern konnten. Mit dem Löschen der Bilder werden alle Links aus Blogs oder externen Dokumenten unbrauchbar.", sagt Rochelle. Barkah hält weiterhin dagegen, dass Anwender bei der Verwendung von Bildern in geschützen Dokumenten zu Recht annehmen, dass auch die Bilder geschützt sind. Rochelle weist darauf hin, dass Bilder mit einer Email an Googles Supportteam endgültig gelöscht werden können.

Alle Vorgängerversionen von Graphen sind verfügbar

Jeder, der zur Verwendung von Google Docs Dokumenten eingeladen wurde, kann alle jemals erstellten Versionen der Bilder und Graphiken einsehen, indem die Versionsnummer der Vorgänger in der angezeigten URL eingegeben wird. Laut Rochelle ist dies kein Mangel, sondern ein Feature. Änderungen in Google Docs werden in Echtzeit freigegeben, während eingeladene Personen darauf Zugriff haben. Während Rochelle in Erwägung zieht, die Freigaben von Vorgängerversionen zu sperren, bietet er derzeit diese provisorische Lösung. "Wer seine Revisionen des Dokuments nicht veröffentlichen will, sollte die letzte Version in ein neues Dokument kopieren und nur dieses zum Zugriff freigeben", rät Rochelle.

Anwender können entzogene Zugangsrechte wiederherstellen

Der dritte Mangel wurde von Bakhar nicht detailliert in der Veröffentlichung freigegeben, um Google einen Vorsprung zur Behebung dieser Sicherheitslücke zu lassen. Laut Bakhar können Anwender, denen der Zugang zu Dokumenten entzogen wurde, dank der ursprünglichen Einladungs-Email den Zugang ohne Erlaubnis oder Wissen des Autors wiederherstellen. Rochelle schränkt ein, dass dies nur auftreten kann, wenn ein Anwender in Google Docs statt an Einzelpersonen sein Dokument an eine Email-Liste und zur Weiterleitung freigibt. Solche Einladungen enthalten einen speziellen Schlüssel im Link zum Dokument, der nach Angeben von Rochelle einfach im gleichen Menü - für alle Eingeladenen - deaktiviert werden kann.

Weitere Sicherheitsmängel

Für Bakhar sind die Sicherheitsprobleme damit aber nicht behoben. Er weist in einer Email daraufhin, dass beim Überprüfen der Sicherheitsvorkehrungen in Google Docs weitere Testszenarien und Details auftauchten, die er analysieren und melden wird.

Google war auch in der letzten Woche wegen Sicherheitsbedenken in den Schlagzeilen. Die Verbraucherschutzorganisation Electronic Privacy Information Center hat bei dem US-Bundesaufsichtsamt für Versicherungswesen eine Klage gegen Google eingereicht, um das Sammeln von privaten Daten zu untersagen, bis Google ausreichende Sicherheitsvorkehrungen vorweisen kann.

Anfang März hatte Google eingestehen müssen, dass auch ohne Autorisierung Dokumente in Google Docs für andere Anwendern freigegeben wurden. Laut Google betraf dies aber nur Anwender, die bereits vorher Dokumente austauschten und somit "nur" 0,5 Prozent aller Dateien.

0 Kommentare zu diesem Artikel
1016720