Google hält eigenen ungesicherten „open redirect“ offenbar für Feature?!

Veröffentlicht: 9. Oktober 2014 in IT-Security
Schlagwörter:, , , , ,

◾ „You can not fix the stupid! – Ron White

OR is a vuln
Als ich bei XSSposed gestern die Meldung zum „Open Redirect“ bei allen Google Domains weltweit einreichte,
da dachte ich noch, dass Google das wohl sicher bald beheben würde.
Nach meiner Anfrage beim Security-Team von Google teilte man mir mit es sei keine Sicherheitslücke!

Google redirected

Wenn ihr also demnächst auf euch zugesendete Google-Links wie diesen hier klickt (Google steht drauf und ZDNet ist drin ;-), dann schaut besser gaaanz
genau jeden einzelnen Parameter der u.U. Kilometer langen URL genau an. Denn genau das setzt Google offenbar voraus!

Da die meisten User gar keine Ahnung von php, html oder sonst was für Sprachen, oder gar Protokollen haben,
halte ich dieses Abschieben der Verantwortung für unhaltbar! Und ja, es gehört angeprangert!

Selbst OWASP listet „Open Redirect“ in seiner Top 10 der Risiken auf! Und auf der zugehörigen Seite heißt es
deutlich:

Open Redirect – This is a Vulnerability

Nun geht es mir nicht hauptsächlich um den Reward, den Google (auch für Sicherheitlücken die Google Suche
betreffend) auslobt, es geht um das Prinzip. Und aus Prinzip lasse ich mich nicht gerne mit einem Einzeiler
und „das ist keine Sicherheitslücke“ abfertigen. Eine US Regierungsstelle durfte schon schmerzhafte Erfahrungen
mit „Open Redirects“ machen. Das Thema ist also wirklich nicht neu….

Wie mir ging es aber schon anderen, wie hier in einem Artikel von ZDNet zu lesen ist (siehe auch hier).
Nichts ist schlimmer, als wenn ein Problem ignoriert, oder gar nahezu als Feature abgetan wird,
oder wie in diesem Fall, man offenbar keine Verantwortung dafür übernehmen will!

Den User auf unvalidierte Redirects laufen zu lassen ist eurer nicht würdig!

Nein, Google…so geht es nicht!

Sollte Google seine Meinung ändern und ggf. sogar ein paar Taler aus dem Rewardprogramm
locker machen, spende ich einen Teil davon an eine gemeinnützige Einrichtung, die Menschen
in Not unterstützt!

Wer sich für die Parameter in der Google URL interessiert kann hier einen guten Beitrag dazu finden:
weiterführender Link zum Thema Google-Suche

Advertisements

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s