Chyba v Google Docs se zdá být nafouknutá

Ade Barkah ze společnosti BlueWax zveřejnil na svém blogu zjištění o několika bezpečnostních chybách, které mají být v systémů Google Docs.

Potenciální problémy se mají týkatpředevším sdílení dokumentů, respektive grafických objektů v nich. Pokud je například obrázek součástí nasdíleného dokumentu, bude přístupný i poté, co původní autor dokument znepřístupní – stačí znát jeho původní URL. Lidé, kterým nasdílíte obrázek, mají rovněž možnost zobrazit jeho předešlé verze.

Společnost Google se k problému vyjádřila spíše v obecné rovině. Situaci zkoumá, nicméně nevěří, že by se jednalo o nějaké vážné bezpečnostní problémy. Důvody shrnul produktový manažer Google Docs Jonathan Rochelle na oficiálním blogu.

Google Barkahova zjištění jako taková nezpochybňuje a několik poznámek v tomto smyslu přidal i do nápovědy ke Google Docs. Obrázky jsou ukládány odděleně od vlastních dokumentů podle Googlu prostě proto, aby třeba při smazání původního dokumentu nezmizely i tam, kam byly mezitím připojeny pomocí hyperlinku. Jejich URL zná ovšem jen ten, kdo měl k dokumentu někdy přístup (takže si konec konců mohl obrázek klidně i zkopírovat na disk).

V případě přístupu k předešlým verzím obrázku lze zase mít za to, že tato informace může být pro uživatele spolupracující na určitém projektu (grafici apod.) důležitá. Snad má být tato možnost nastavena jako volitelná. V tento okamžik lze přístupu k předešlým verzím zabránit prostě tak, že uživatel vytvoří novou kopii dokumentu a nasdílí až ji. V kopii už je uložena jen finální podoba bez revizí.

Poznámka: Spíše než že by šlo o vážnou zranitelnost se zdá, že Google se nyní stává oblíbeným cílem. Nejde ani o problém cloud computingu, jak se často uvádí, ale spíše o nesnáz se sdílením dokumentů jako takovým, ať už přes internet nebo jinak. S „historií“ dokumentů se potýkají i uživatelé MS Office nebo OpenOffice.org, tyto nesporně užitečné funkce mohou vést občas k nechtěným důsledkům.

Nakonec ale podobných oznámení o chybách v nabídce Googlu bude přibývat, protože pro řadu organizací i jednotlivců je zde příležitost získat si publicitu – viz i nedávný příklad, kdy organizace Electronic Privacy Information Center dokonce požadovala, aby Google tyto služby přestal nabízet (viz tento článek). Tím ovšem není řečeno, že zrovna Ade Barkah zveřejnil celou záležitost za účelem vlastního PR – ostatně prohlásil, že je velmi potěšen rychlou a věcnou reakcí, kterou od Googlu získal.