29.10.2009

גוגל כרום לא אוהב את גוגל אדוורדס

הדפדפן של גוגל, "כרום", היה סבור שיש בעיה עם אתר גוגל אדוורדס (Google AdWords).
בזמן גלישה ב"אדוורדס" עלתה הודעה "דף זה מכיל תוכן לא מאובטח". המצב תוקן בספטמבר 2011.



לחיצה על אייקון "משולש כתום עם סימן קריאה" מעלה חלון "פרטי אבטחה" עם ההודעה הבאה:

"הזהות של אתר זה אומתה על ידי Equifax.
עם זאת, הדף כולל משאבים אחרים שאינם מאובטחים.

אנשים אחרים יכולים לצפות במשאבים אלו תוך כדי העברתם,
וגורם פוגע עלול לשנות את מראה הדף או את התנהגותו".


השאלות שעלו:
1) האם אנשים יכולים לצפות בחשבון האדוורדס שלך ושלי?
2) האם גורם פוגע אכן עלול לשנות את מראה מערכת הפרסום של גוגל?
3) ההגיון אומר שמערכת הפרסום המובילה באינטרנט, ששוויה כמה עשרות מיליארדי דולרים, תהיה מספיק מאובטחת בשביל הדפדפן שייצרה אותה חברה. לא ככה?

צילום-מסך להוכחה:



נדב מגיב לפוסט זה: "כשאני נתקל בדברים כאלה, זה בדרך כלל הטמעה של תמונה או סקריפט של אותו הלקוח בקישור ישיר ולא יחסי, שאינו בפרוטוקול SSL. לדוגמה, כתובת של תמונה". אז בדקתי את הקוד, ולא מצאתי קישור כזה. אם אכן מדובר באיום אמיתי או איום מדומה - בשני המקרים גוגל צריכים לפתור את הבעיה בהקדם האפשרי, כדי שהמפרסמים יידעו שהם מאובטחים.

עדכון - ספטמבר 2010
גוגל תיקנו את הבעיה ועכשיו הממשק מאובטח על ידי גוף בשם "גוגל אינטרנט אוטוריטי" (רשות האינטרנט של גוגל) - Google Internet Authority. "החיבור מוצפן באמצעות RC4_128 עם SHA1 לאימות הודעות ועם RSA בתור מנגנון ההחלפה העיקרי", נכתב בעברית.

צילום מסך עדכני להוכחה:


תגובה 1:

נדב אמר/ה...

כשאני נתקל בדברים כאלה, זה בדרך כלל הטמעה של תמונה או סקריפט של אותו הלקוח בקישור ישיר ולא יחסי, שאינו בפרוטוקול SSL.
לדוגמה, כתובת של תמונה:

http:foo.bar/foo.img

במקום
/foo.img
או
https:foo.bar/foo.img

חפש בקוד ה HTML את http://
(בלי ה S)

כל הזכויות שמורות לבלוג חופש החיפוש 2007-2012