Pierwsza luka bezpieczeństwa polega na tym, że kiedy udostępniamy dokument ze zdjęciem to ma ono unikalny adres. Kiedy więc zmienimy opcje udostępniania, blokując komuś dostęp do dokumentu, lub nawet skasujemy dokument, to nadal można zobaczyć zdjęcie poprzez jego unikalny adres. "Jeśli wklejasz zdjęcie do prywatnego, chronionego dokumentu, to oczekujesz, że zdjęcie jest również chronione." - mówi Ade Barkah, specjalistka ds. bezpieczeństwa informacji, która wykryła luki .
Na oficjalnym blogu Dokumentów Google opublikowano odpowiedź na raport Barkah. Adresy URL obrazków są znane tylko tym osobom, którym udostępniono dokument. Podczas tego okresu mogły zapisać sobie zdjęcie czy grafikę wklejoną w dokumencie. Ostatecznie użytkownicy Dokumentów Google mogą poprosić o całkowite wykasowanie zdjęcia wysyłając maila na adres docsimagedelete@google.com.
Druga luka wychwycona przez Barkah polega na tym, że ktoś z kim współdzielimy dokument, może podejrzeć wszystkie wersje diagramów jakie pojawiły się w dokumencie poprzez modyfikacje adresu URL. Google odpowiada, że podgląd kolejnych wersji dokumentu jest funkcją Dokumentów Google, a nie wadą. Jeśli nie chcesz aby ktoś widział historię modyfikacji to nie udostępniaj mu dokumentu. Jeśli z jakiejś przyczyny nie chcemy aby osoby, którym wcześniej udostępniliśmy dokument, teraz na 100 proc. nie miały dostpeu do diagramów to... Musimy stworzyć nowy dokument i przekopiować do niego zawartość starego.
Trzecie zagrożenie bezpieczeństwa: jeśli komuś odebrałeś dostęp do dokumentu, to mimo to może on sam przywrócić sobie prawo do jego edycji pod pewnymi warunkami. Wiąże się to z funkcją wprowadzoną ze względu na prośby użytkowników - przezywanie zaproszeń do grupy osób. Takie zaproszenie zawiera specjalny klucz umieszczony w linku do dokumentu. Google odpowiada, że ta funkcja może być prosto wyłączona w ustawieniach Dokumentów Google.
To nie pierwsze wyłuskiwanie większych lub mniejszych luk w bezpieczeństwie Dokumentów Google. Wcześniej pisaliśmy o błędach umożliwiających edytowanie plików przez osoby niepożądane . Czasami te luki są śmiesznie małe lub nieistotne dla większości użytkowników, ale to dobrze, że ktoś czuwa nad bezpieczeństwem.
Śledź temat na bieżąco na technologie.gazeta.pl
