Este mismo mes os informábamos sobre un fallo de seguridad en 'Google Docs' que permitía que terceros viesen tus documentos privados, y el cual provocó que una organización pro-derechos del consumidor pidese que Google cesara sus aplicaciones personales hasta que no garantizase su seguridad.
Esta semana ha salido a la luz un nuevo agujero de seguridad, que a esta hora (11:10h CET) aún no está solucionado, y que permite que cualquier persona pueda ver una imagen que hayas insertado dentro de cualquier documento, sea éste público o privado, o incluso si ha sido ya eliminado de 'Google Docs'.
Al igual que sugiere Ade Barkah (la persona que ha descubierto este incidente) en este post de su blog personal, hemos creado un nuevo documento de texto, hemos insertado una imagen, hemos compartido dicho documento, y nos hemos quedado con la URL de la imagen:
http://docs.google.com/File?id=dgprnbk5_49ck6zp7dd_b
Como podéis observar, esta imagen está accesible para vosotros que no tenéis permiso de visualización sobre el documento que hemos creado y que incluso hemos eliminado:
Los ingenieros de Google llevan varios días alertados del fallo, pero en este post oficial de hace unas horas aseguran que "no se trata de un riesgo significativo de seguridad para los usuarios". Es cierto que la URL de la imagen solamente estará localizable para usuarios que previamente hayan tenido acceso al documento donde se encuentra pero, como asegura Barkah, muchos pensábamos que estas imágenes estaban bajo el mismo control de privilegios que el documento que los contenía y quizá no querramos que sean accesibles de manera pública.
Además, cualquier usuario que alguna vez haya tenido acceso al documento puede ver las revisiones que estemos haciendo de las imágenes que se inserten, lo cual solamente se puede evitar, según recoumendación de Google, creando una copia del documento con nuevos permisos.
0 Comentarios:
Publicar un comentario