Adult Webmaster Blog

Wie in einem Artikel von Nitesh Dhanjani beschrieben, wirft das Firefox Safe Browsing Plugin von Google einige Fragen zur Datensicherheit, bzw. zum Datenschutz auf. Wie Nitesh herausgefunden hat, sendet das Plugin bei Applikationen, die auf GET setzen, den kompletten Request (auch bei SSL) als Text an die Schnittstelle von Google, was eine erhebliche Sicherheitslücke darstellt.

Das Plugin soll den User vor Phising-Websites schützen und bestimmt anhand diverser Parameter den TrustRank einer Site (mehr dazu hier und in den FAQ von Google). Interessant sind nun aber die Informationen, die das Plugin an Google sendet. Nitesh hat dazu zuerst CNN.com (als vertrauensvolle Site) getestet. Die folgenden Daten hat das Plugin dabei an Google gesendet:

HTTP/1.1 200 OK
Content-Type: text/plain
Server: TrustRank Frontend
Content-Length: 0
Date: Thu, 15 Dec 2005 10:16:55 GMT

Bei einer nicht vertrauensvollen Site gibt Google zusätzlich noch ein “phishy:1:1″ zurück. Anhand dieses Parameters reagiert das Plugin mit einer Warnmeldung. Das eigentliche Problem an der Sache ist jedoch, das wenn man auf einer sicheren SSL-Verbindung ist und z.B. sensible Kreditkartendaten eingibt und diese nun von der Applikation per GET anstatt mit POST versendet werden, die Daten als Text an http://www.google.com/safebrowsing/lookup gesendet werden. Nun könnte jeder im Netzwerk die Informationen abfangen. Da manche Applikationen nicht POST sondern GET verwenden - obwohl dies bei sensiblen Daten eigentlich falsch ist -, werden die gesamten im GET enthaltenen Daten an Google übertragen.