曝Google登录页面存在安全漏洞(转载) - 比特币今日价格

wangjia

安全研究人员近日在Google的登录页面发现安全隐患，当他点击登录按钮时，能自动下载恶意软件到用户电脑上。导致这个问题的关键是Google允许在登录页面URL中调用“continue=[link]”参数。Google已经预计这个参数可能会引起安全问题，并只能在google.com域名中的“*.google.com/*”规则使用，这里的*为通配符。

研究人员表示这意味着drive.google.com或者docs.google.com都能通过这个continue这个登录页面的有效参数来进行访问。黑客甚至可以将恶意软件上传到谷歌驱动或者Google Docs账户，并把它藏在谷歌官方登录链接中。当用户访问这个页面并进行登录的时候，能够在未经用户确认的情况下下载文件，并欺骗用户点击。

安全人员已经通知谷歌的安全团队，他们关闭了他的所有三个Bug并报告他们所知道的错误。随后谷歌发表声明称，已经开始调查提交的内容，并遗憾的通知他们做出决定并不会当做安全Bug进行追踪。对于技术安全漏洞的报告应该是影响机密性或用户数据的，但是我们认为你所提交的问题并没有影响。
Google的做法基于原则，而不是用户的安全，我们强烈呼吁Google以保护我们共同的用户为目标。漏洞之所以严重，是由于类似bash、OpenSSL的开源软件被广泛应用于全球数亿设备之上。

由此，安全重视和漏洞可能是到达了一个临界点，加密在过去一年被越来越重视。随着一大堆问题被逐渐发展并解决，使得用户对于安全防范更加重视。
本文摘自 企牛软件商城
link登录