Виявлена вразливість на сторінці логіна Google

Цієї неділі дослідник Айдан Вудс повідомив в свому блозі, що виявив вразливість на сторінці аутентифікації користувача Google.

В чому полягає вразливість?

На сторінці Google , на якій користувач повинен вводити свій логін є підтримуваний параметр continue, який може перенаправити коритувача на який небуть адрес (але тільки якщо він містить домен .google.com )після успішного введення даних.

Всього лиш?Як це взагалі можна вважати вразливістю?

Справа в тому , що якщо добавити до сторінки аутентифікації?continue=http://www.google.com/amp/tproger.ru   то після вводу даних

користувача перенаправить на головну сторінку Tproger. Таким же чином можна перенаправляти користувача абсолютно на будь-яку сторінку в тому числі фішинговану. Наприклад користувача можна перенаправити на сторінку яка повідомить, що пароль введений не правильно, і попросить ввести данні знову, після вводу данні звичайно попадуть до злочинців. Таким же чином користувача можна заставити скачати шкідливий файл.

Чи планують в Google це виправляти?

В тому то і справа що ні! Айдан опублікував свою переписку з технічною службою Google. Йому відповіли, що компанія витрачає достатньо зусиль для інформування користувачів і тому ця особливість їх сторінки не буде вважатись вразливістю( і не буде виправлятись).Айдан передбачає, що розголос цієї “фічі” може заставити Google змінити свою позицію.


Обговорення