Sie sind hier: Home | News | Sicherheit | Google: Datenschleuder Web-Accelerator

Web-Accelerator unsicher

Google: Datenschleuder Web-Accelerator

Die Welt dreht sich täglich schneller. Das Internet dankt und wird seinerseits ebenfalls flotter. Eine 4 Megabit-Flatrate für wenig Geld? Noch vor 5 Jahren eine Traumvision der meisten Surfer - die waren nämlich mit Modem und ISDN unterwegs. Aus dieser Zeit stammt auch der Gedanke der Web-Beschleuniger. Heutzutage dank hoher Bandbreiten eigentlich unnötig, hat Google kürzlich genau so ein Programm veröffentlicht.

Inhaltsverzeichnis

  1. 1Höher, schneller, weiter...
  2. 2Cookie-Probleme
  3. 3Nichts für Kinderaugen
  4. 4Sicher: HTTPS

Web-Beschleuniger funktionieren mittels Proxy-Server: Statt die Websites direkt beim Webserver abzuholen, schaltet auch Googles Web-Accelerator einen Proxy zwischen User und Webserver. Sinn der Sache: Die Verbindung zum Proxy ist gut, die zum Webserver vielleicht nicht. Deshalb lädt der Proxy die Seiten und hält sie in seinem Speicher für den Anwender vor. Wenn nun zehn Anwender eine Seite aufrufen, schickt der Proxy sie zehnmal raus, hat sich aber nur einmal mit dem Webserver verbunden, um die Seite zu laden.

Werbung

Höher, schneller, weiter...

Dank der schnellen Verbindung zum Proxy sind die Seiten wesentlich schneller geladen, als wenn sie vom Webserver geladen würden. Der Vorteil für den User liegt auf der Hand, er nimmt selbst mit DSL eine deutliche Geschwindigkeitsverbesserung wahr. Der Proxydienst seinerseits kann auswerten, welcher User welche Daten abgerufen hat und das für kommerzielle Statistiken benutzen. Doch das ist nicht das einzige Sicherheits-Risiko.

Googles Web-Accelerator hat nämlich eine Lücke. Und die lautet: Passwortgeschützte Websites. Wenn sich ein Anwender auf einem Webserver anmeldet, mit oder ohne Proxy, wird sein Passwort übermittelt, der Webserver verschickt einen Cookie und hält mit Hilfe dieses Cookies die Verbindung offen. Wenn dieser Cookie nun nicht beim Anwender landet, sondern auf dem Proxy-Server, kann es passieren, dass auch geöffnete Seiten auf dem Proxy landen.

Cookie-Probleme

Genau hier sitzt der Fehler: Mehrere Anwender mussten feststellen, zum Beispiel beim Aufruf eines Web-Forums bereits eingeloggt zu sein. Allerdings nicht mit ihrem, sondern mit einem fremden Benutzernamen. Der Unfug, der damit getrieben werden kann, ist offensichtlich. Der eigentliche Besitzer des Benutzeraccounts bekommt derweil nichts davon mit, dass sein Account möglicherweise dank des Web-Beschleunigers offen daliegt.

Seite 1 / 2

Links zum Thema