יזהרו הגולשים?

עוד פרצה באתר אינטרנט, הפעם בגוגל (ו-gmail). מדווח ynet. אני לא מדבר על הפירצה. לא חקרתי אותה. אני כן מדבר על התגובות, ובפרט, על התגובה.

עופר אלזם אומר “הגולשים חייבים להזהר”. “קשה לבטוח באתרים ובתוכן שהם מציגים לנו”. האמת, מה זה צודק. אני מציע לטפל בתאונות הדרכים אותו הדבר. “הנהגים צריכים להזהר”. אפשר לפתור את בעיות הפיגועים אותו הדבר – “הנוסעים באוטובוס צריכים להזהר”. אפילו את סכנת הצונמי אפשר לפתור כך. “הרוחצים בים צריכים לשמור את עינהם פתוחות”. בקיצור – בולשיט.

הגולשים לא יכולים להזהר מהתקפות כאילו, מהסיבה המאוד פשוטה שהגולשים לא יודעים ממה להזהר. זה לא כאילו שאפשר להבחין בין הפניה תמימה להפניה עוינת. מצד שני (ואם אבירם קורא את זה, ועל פי ynet הוא כן התעמק בבעיה הספציפית הזו, הוא מוזמן לתקן אותי אם אני טועה) מרגע שלחצתם על הקישור העויין, כבר גנבו לכם את הזהות. בקיצור, הגולשים לא יכולים להזהר. אין להם איך.

מצד שני, גוגל כן היו יכולים להזהר. ל-cookies שנשמרות בדפדפן שלכם יש טווח חוקי. עבור גלישה לדף שמחוץ לטווח הנ”ל, הדפדפן שלכם לא ימסור את ה-cookie. מכאן שגוגל התרשלו פעמיים. פעם אחת בגלל שהיה להם Cross Site Scripting (ולאבירם – נהוג לכנות אותם XSS, במיוחד כדי למנוע את הבילבול של מגיב מספר 4), ופעם שניה, החמורה יותר, שאתר froogle יכל היה לגשת ל-cookies ששייכים ל-gmail.

גם לגבי החלק השני, זה נובע מחוסר זהירות כפול. ראשית, בגלל שהם מפנים את gmail.com ל-gmail.google.com, ושנית בגלל שהם לא מגבילים את ה-cookies של gmail רק לאתר ההוא.

ניחא אם היה מדובר ברשלנות. כאן, כנראה, מדובר בזדון. אילו הן השערות בלבד, אבל אני מנחש שהסיבה שגוגל לא נזהרו היא מכיוון שהם רצו שתהיה גישה לזהות שלכם ב-gmail מתוך google. הם רצו, כשאתם מקלידים חיפוש, לדעת מיהו משתמש ה-gmail שהקליד את החיפוש הנ”ל. וזאת כדי שהם יוכלו להתאים לכם פרסומות. לזכותם יאמר שהם אמרו במפורש שזה מה שהם יעשו. רוב האנשים שאני מכיר רק הניחו שהם ייקחו את הזיהוי שלכם מתוך המייל שאתם מקבלים, לא מתוך החיפושים שאתם עושים בגוגל.

במצב כזה, אבל, גוגל לוקחים אחריות מפורשת על בטיחות הגלישה שלכם. כל בעיית אבטחה שקוראת כתוצאה מכך היא אחריותם הישירה. לגולשים אין מה, או איך, להזהר.

שחר