Google

Falha já corrigida no Google Apps permitia acesso a serviços do Google

Uma falha já corrigida no Google Spreadsheets, a planilha online do Google Apps, permitia o acesso de um crackers a todos os serviços do Google, revelou um pesquisador de segurança nesta quarta-feira (16/04).

A vulnerabilidade viabilizava ataques de cross-site scripting (XSS) e é uma indicação dos riscos que podem acompanhar a grande popularidade do Software como Serviço (SaaS), segundo o pesquisador Billy Rios, que descobriu o problema.

Devido à forma como o Google estrutura seus processos de autenticação, um único ataque XSS pode oferecer acesso a todos os serviços e documentos da empresa, diz Rios. “Só com este XSS, posso fazer tudo que quiser no Google como se fosse você”, explicou o pesquisador em um post.

Os crackers se aproveitam da maneira como o Internet Explorer determina o tipo de conteúdo das respostas de servidores, ignorando o cabeçalho que informa o conteúdo das páginas, em algumas circunstâncias.

Segundo Rios, os navegadores Firefox, Opera e Safari podem ser levados ao mesmo comportamento.

“Os desenvolvedores precisam entender como os browsers lidam com diferentes cabeçalhos de conteúdo ou arriscarão sua aplicação hospedada na web a ataques XSS”, escreveu.

Para consolidar a invasão, Rios injetou um código HTML na primeira cédula de uma tabela, junto com um Javascript voltado a mostrar o cookie do usuário. O IE então renderizou o conteúdo como HTML, permitindo que o cookie fosse visualizado.

Em algumas semanas, o Google permitirá que os usuários visualizem e editem documentos do Google Apps também offline.

Tópicos Relacionados

• Computação nas nuvens: Google quer construir o futuro dos computadores
• Computação nas nuvens: Google quer construir o futuro dos computadores
• Google pode adquirir Salesforce
• Como usar o Google Docs Offline no Brasil
• Google Code agora em português
• Dicas para criar sites acessíveis e rastreáveis por buscadores
• Google Takes Aim at the Enterprise: Announces Salesforce for Google Apps
• Google Gears: o primeiro passo para aplicativos web off-line

Não perca um só Post, Assine o nosso RSS Feed Completo	Ou subscreva por E-mail
apple Blackberry blog celular desktop digital download email facebook fotos Google Internet iphone ipod mac microsoft mobile myspace notebook orkut rede smartphone smartphones tv Twitter video vista web windows yahoo

Dê uma nota ao post!

(Nenhum Voto(s))

 Loading ...

Tags: apps, engine, Google, google apps engine, html, offline, xss