Google odtwarza problemy związane z bezpieczeństwem w dokumentach

Dokumenty Google użytkownicy nie powinni tracić snu z powodu obaw związanych z bezpieczeństwem, które analityk bezpieczeństwa zgłosił na temat hostowanego pakietu biurowych aplikacji biurowych, powiedział Google w piątek.

W oficjalnym blogu Jonathan Rochelle, menedżer produktu Google Docs, wyjaśnia, dlaczego Firma określiła, że ​​kwestie zawarte w raporcie analityka są dalekie od krytycznych.

Wnioski Google nie są zaskoczeniem. Kilka godzin po tym, jak Ade Barkah opublikował swój raport w czwartek, Google odpowiedział na wstępne oświadczenie, że prowadzi dochodzenie w tej sprawie, ale nie wierzyło w istotne problemy z bezpieczeństwem w Dokumentach.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego konta Komputer z systemem Windows]

Mimo wszystko Google widzi pewną wartość w raporcie Barki. Google dodało informacje dotyczące obserwacji Barkah na stronach pomocy "Dokumentów" w Dokumentach dotyczących tworzenia rysunków oraz dodawania przeglądających i współpracowników do dokumentów.

Ponadto Google może wprowadzać zmiany w Dokumentach w wyniku raportu Barkah. "Badamy także alternatywne opcje projektowe, które mogą jeszcze bardziej rozwiać obawy.. Chcielibyśmy podziękować badaczowi za podzielenie się z nami swoimi wątpliwościami", napisał Rochelle.

Poprosił o komentarz na blogu Rochelle, Barkah zaznaczył, że nie jest sporządzono jego analizę bezpieczeństwa w Dokumentach Google. "W tej chwili wciąż pojawiają się nowe szczegóły i scenariusze testowe. Doceniam doskonałą opinię otrzymywaną od Google Security. Wciąż dzielę się z nimi swoimi najnowszymi odkryciami i będę w stanie komentować dalej, gdy nasza analiza się zakończy. kompletny, "powiedział przez e-mail.

Dokumenty Google to darmowy, samodzielny produkt, a także komponent w szerszym pakiecie współpracy i komunikacji Google Apps, który jest dostępny w wersji bezpłatnej i płatnej i jest przeznaczony do wykorzystanie w miejscu pracy.

Barkah, założyciel BlueWax, firmy konsultingowej zajmującej się aplikacjami korporacyjnymi z siedzibą w Toronto, podkreślił, co uważał za trzy błędy w sposobie udostępniania plików w Dokumentach, co pozwala ludziom zapraszać innych do przeglądania i edytowania dokumentów tekstowych, arkuszy kalkulacyjnych i prezentacje.

Po pierwsze, Barkah zauważyła, że ​​obrazy wstawione do dokumentu mają swój własny adres URL, więc osoba, która otrzymała dostęp do dokumentu, może nadal wywoływać obraz, nawet jeśli dokument został usunięty lub właściciel dokumentu usuwa swoje prawa dostępu. "Jeśli osadzisz obraz w chronionym dokumencie, spodziewałbyś się, że obraz również będzie chroniony, a efektem końcowym jest potencjalny wyciek prywatności" - pisał Barkah.

Rochelle przeciwdziała, że ​​obrazy są przechowywane niezależnie od dokumentów, w których pojawiają się w obawie, że usunięcie ich spowoduje przerwanie odniesień do nich w innych dokumentach i zewnętrznych blogach. "Ponadto adresy URL obrazów są znane tylko tym użytkownikom, którzy w pewnym momencie mieli dostęp do dokumentu, w którym znajduje się obraz, i dlatego mogliby zapisać obraz mimo wszystko - co jest w pełni oczekiwane," napisał Rochelle.

Ostatecznie właściciele dokumentów mogą zażądać usunięcia obrazów ze swojego konta, wysyłając wiadomość e-mail do zespołu pomocy technicznej Google pod adresem [email protected].

Druga obserwacja, którą Barkah przedstawił, dotyczyła możliwości udostępnienia dokumentu dla osoby, której udostępniono dokument wszystkie wersje jakiegokolwiek diagramu zawartego w nim, modyfikując adres URL obrazu.

W swojej odpowiedzi Rochelle zwraca uwagę, że umożliwienie współpracownikom przeglądania historii zmian dokumentu jest funkcją Dokumentów i że jedynymi osobami, które mogły zobaczyć poprzednie wersje rysowanie to ci, którzy uzyskali dostęp do dokumentu.

"Możemy uważać, że otwarcie uniemożliwiamy widzom dostęp do wersji rysunkowych" - napisał Rochelle. "Na razie, jeśli właściciele dokumentów zdecydują, że nie chcą, aby widzowie mieli dostęp do swoich wersji, mogą po prostu utworzyć nową kopię dokumentu - z menu Plik - i udostępnić tę nową wersję. dokument i wszystkie osadzone rysunki są usuwane w kopiach dokumentów. "

Barkah nie sprecyzował swojej ostatniej troski w swoim raporcie, aby dać Google czas na rozwiązanie tego problemu, ale powiedział, że pozwoliło, w niektórych przypadkach, autorom, których dostęp do dokumentu został usunięty, aby wrócić do niego bez wiedzy i pozwolenia właściciela.

Rochelle wyjaśniła, że ​​scenariusz obejmuje korzystanie z funkcji Dokumentów, która umożliwia wysyłanie zaproszeń do dokumentów do więcej niż jednej osoby. Google dodała tę funkcję w odpowiedzi na żądania od użytkowników, którzy chcieli przekazywać zaproszenia i udostępniać dokumenty za pomocą list e-mail.

"Zaproszenia wysłane za pomocą tej funkcji zawierają specjalny klucz w łączu do dokumentu. Ta funkcja może być w dowolnym momencie wyłączona wygasać wcześniej rozproszonych zaproszeń, które zawierają ten specjalny klucz. Aby to zrobić, po prostu wyłącz tę funkcję, odznaczając ją - w dokumentach i prezentacjach nazywa się "zaproszenia mogą być używane przez każdego" oraz w arkuszach kalkulacyjnych jest to "redaktorzy mogą udostępniać ten element, "Rochelle napisał.

Kontrola prywatności i bezpieczeństwa w hostowanych aplikacjach Google pojawiła się ostatnio w wiadomościach. W zeszłym tygodniu Centrum Informacji o Prywatności w wersji elektronicznej złożyło skargę do Federalnej Komisji Handlu Stanów Zjednoczonych, aby powstrzymać Google od oferowania usług hostowanych, które zbierają dane, dopóki nie zostanie zweryfikowana kontrola prywatności.

Na początku tego miesiąca Google przyznał, że błąd w Dokumentach spowodował dokumenty, które należy ujawnić użytkownikom bez odpowiedniego pozwolenia. Problem wystąpił wśród użytkowników, którzy wcześniej udostępnili dokumenty. Firma twierdziła, że ​​wpłynęła na mniej niż 0,05 procent dokumentów. Uwaga redaktora: procent dokumentów Google dotkniętych problemem został poprawiony 28 marca 2008 r.