Google neemt beveiligingsaangelegenheden boven Documenten

Google Documenten gebruikers moeten niet uit het oog verliezen over de beveiligingsproblemen die een beveiligingsanalist heeft aangekaart over de gehoste suite van kantoorproductiviteitstoepassingen, zei Google eind vrijdag.

Jonathan Rochelle, productmanager van Google Docs, geeft in een officiële blogpost informatie over waarom Het bedrijf heeft vastgesteld dat de problemen in het rapport van de analist allerminst kritiek zijn.

De conclusies van Google zijn geen verrassing. Nadat Ade Barkah uur geleden zijn rapport publiceerde, reageerde Google met een voorlopige verklaring dat het de zaak aan het onderzoeken was, maar dat het niet geloofde dat er belangrijke beveiligingsproblemen waren met Documenten. <[Verder lezen: Hoe u malware van uw computer verwijdert Windows-pc]

Niettemin ziet Google kennelijk enige verdienste in het rapport van Barkah. Google heeft informatie over de opmerkingen van Barkah toegevoegd aan de Help-pagina's van Documenten over het maken van tekeningen en over het toevoegen van kijkers en bijdragers aan documenten.

Bovendien kan Google wijzigingen aanbrengen in Google Documenten als een resultaat van het rapport van Barkah. "We onderzoeken ook alternatieve ontwerpopties die de problemen verder kunnen aanpakken.We willen de onderzoeker bedanken voor het delen van zijn zorgen met ons," schreef Rochelle.

Gevraagd naar commentaar over Rochelle's blogpost, gaf Barkah aan dat hij niet gedaan met zijn beveiligingsanalyse van Google Docs. "Op dit moment zijn er nog steeds nieuwe details en testscenario's. Ik waardeer de uitstekende feedback die ik ontvang van Google Security. Ik deel mijn meest recente bevindingen met hen en kan verder reageren zodra onze analyse is voltooid. compleet, "zei hij via e-mail.

Google Docs is een gratis, standalone product, evenals een component in de bredere samenwerking- en communicatiesuite Google Apps, die wordt geleverd in gratis en betaalde versies en is ontworpen voor gebruik op de werkplek.

Barkah, oprichter van BlueWax, een consultancybedrijf voor bedrijfsapplicaties gevestigd in Toronto, benadrukte wat hij beschouwde als drie zwakke punten in de manier waarop bestanden worden gedeeld in Documenten, waardoor mensen anderen kunnen uitnodigen om hun tekstverwerkingsdocumenten, spreadsheets te bekijken en te bewerken en presentaties. Ten eerste merkte Barkah op dat afbeeldingen die in een document zijn ingevoegd, hun eigen URL krijgen, zodat iemand die toegang heeft gekregen tot het document de afbeelding kan blijven oproepen, zelfs als het document wordt verwijderd of als de eigenaar van het document verwijdert hun toegangsrechten. "Als u een afbeelding insluit in een beveiligd document, zou u verwachten dat de afbeelding ook wordt beschermd." Het eindresultaat is een mogelijk privacylek, "schreef Barkah.

Rochelle verzette zich ertegen dat afbeeldingen onafhankelijk van de documenten werden bewaard waarin ze lijken bang dat het verwijderen ervan verwijzingen naar hen verbreekt in andere documenten en externe blogs. "Bovendien zijn afbeeldings-URL's alleen bekend bij gebruikers die ooit toegang hebben gehad tot het document waarin de afbeelding is ingesloten en daarom de afbeelding mogelijk toch hadden kunnen opslaan - wat volledig wordt verwacht," schreef Rochelle.

Uiteindelijk, eigenaars van documenten kunnen verzoeken dat afbeeldingen worden verwijderd uit hun account door een e-mail te sturen naar het ondersteuningsteam van Google op [email protected]. <> De tweede opmerking die Barkah maakte, had betrekking op de mogelijkheid van iemand met wie een document wordt gedeeld om te bekijken alle versies van elk diagram dat erin is opgenomen door de URL van de afbeelding aan te passen.

In zijn reactie wijst Rochelle erop dat medewerkers de revisiegeschiedenis van een document kunnen bekijken een Docs-functie is en dat de enige mensen die eerdere revisies van een document kunnen zien tekeningen zijn diegenen die toegang hebben gekregen tot het document.

"We kunnen overwegen om kijkers expliciet te beletten toegang te krijgen tot tekenherzieningen," schreef Rochelle. "Als documenteigenaren nu besluiten dat ze niet willen dat kijkers toegang hebben tot hun revisies, kunnen ze eenvoudig een nieuwe kopie van het document maken - via het menu Bestand - en die nieuwe versie delen. het document en alle ingesloten tekeningen worden verwijderd in kopieën van documenten. "

Barkah heeft zijn laatste zorg in zijn rapport niet gedetailleerd beschreven om Google tijd te geven om het probleem op te lossen, maar zei dat het in sommige gevallen bijdragers toeliet wiens toegang tot een document is verwijderd om erin terug te komen zonder medeweten en toestemming van de eigenaar.

Rochelle legde uit dat het scenario het gebruik van een Docs-functie inhoudt, waardoor uitnodigingen voor toegang tot documenten kunnen worden doorgestuurd naar meer dan één persoon. Google heeft deze functie toegevoegd als reactie op verzoeken van gebruikers die uitnodigingen willen verzenden en documenten willen delen met e-maillijsten.

"Uitnodigingen die met deze functie worden verzonden, bevatten een speciale toets op de documentkoppeling. Deze functie kan op elk gewenst moment worden uitgeschakeld om eerder gedistribueerde uitnodigingen die deze speciale sleutel bevatten, te vervallen. Hiervoor schakelt u deze functie eenvoudigweg uit door het vinkje te verwijderen - in documenten en presentaties wordt dit 'uitnodigingen mag door iedereen worden gebruikt' genoemd en in spreadsheets kunnen de redacteurs dit item delen, '"Schreef Rochelle.

Privacy- en beveiligingscontroles in door Google gehoste applicaties zijn recent in het nieuws geweest. Vorige week heeft het Electronic Privacy Information Center een klacht ingediend bij de Amerikaanse Federal Trade Commission om Google te verhinderen gehoste services te bieden die gegevens verzamelen totdat privacycontroles kunnen worden geverifieerd. Google heeft eerder deze maand erkend dat een fout in Google Documenten enige documenten die zonder de juiste toestemming aan gebruikers worden getoond. Het probleem deed zich voor bij gebruikers die eerder gedeelde documenten hadden. Het bedrijf zei dat het invloed had op minder dan 0,05 procent van de documenten.

Noot van de redactie: het percentage Google-documenten waarop de glitch betrekking had, werd gecorrigeerd op 28 maart 2008.