原文 by Philipp Lenssen
Google 演示文稿工具刚刚新鲜发布,但是仍然引入了首个Google帐户的隐私弱点……不是取决于你看不看演示幻灯片。使用一个用TomHTML发现的简单 hack(我能详细说明一次Google安全中心花了一些时间才拦截到我们发的消息,如果他们认为这的确是个问题的话),你能未经允许是否分享个人信息或 者是人们访问过你网站的事实,通过Google演示文稿服务来获取访问你网站的人的名字或者说是Gmail地址!注:这只在来访者已经登录了自己的 Google帐号内,但除此要求外没有特殊程序能做到(它也许可能或者不可能在任意浏览器下的每篇文章中见效)。
我之前提到过: 由于唯一登录Google帐户的构架,每一个单独的Google产品有权力介绍对其他产品、与Google无关产品或者通常使用Google帐户下产生的 安全或隐私漏洞。当前这个问题“只”伤及到一个隐私问题而非安全问题,但是它也是问题领域中的一个范例。无论何时Google在google.com上发 布什么,我们必须清楚如果它被设计的工程师看成是一个实验的、labs、alpha或者beta产品是没有关系的……它仍然能够修改全部的Google cookie。
| 更新:Google透露给我说他们已经修复了bug。我的测试好像的确说明问题——我不能再重现一遍隐私漏洞了。[谢谢Sam!] |
没有评论:
发表评论