יזהרו הגולשים?

עוד פרצה באתר אינטרנט, הפעם בגוגל (ו-gmail). מדווח ynet. אני לא מדבר על הפירצה. לא חקרתי אותה. אני כן מדבר על התגובות, ובפרט, על התגובה.

עופר אלזם אומר “הגולשים חייבים להזהר”. “קשה לבטוח באתרים ובתוכן שהם מציגים לנו”. האמת, מה זה צודק. אני מציע לטפל בתאונות הדרכים אותו הדבר. “הנהגים צריכים להזהר”. אפשר לפתור את בעיות הפיגועים אותו הדבר – “הנוסעים באוטובוס צריכים להזהר”. אפילו את סכנת הצונמי אפשר לפתור כך. “הרוחצים בים צריכים לשמור את עינהם פתוחות”. בקיצור – בולשיט.

הגולשים לא יכולים להזהר מהתקפות כאילו, מהסיבה המאוד פשוטה שהגולשים לא יודעים ממה להזהר. זה לא כאילו שאפשר להבחין בין הפניה תמימה להפניה עוינת. מצד שני (ואם אבירם קורא את זה, ועל פי ynet הוא כן התעמק בבעיה הספציפית הזו, הוא מוזמן לתקן אותי אם אני טועה) מרגע שלחצתם על הקישור העויין, כבר גנבו לכם את הזהות. בקיצור, הגולשים לא יכולים להזהר. אין להם איך.

מצד שני, גוגל כן היו יכולים להזהר. ל-cookies שנשמרות בדפדפן שלכם יש טווח חוקי. עבור גלישה לדף שמחוץ לטווח הנ”ל, הדפדפן שלכם לא ימסור את ה-cookie. מכאן שגוגל התרשלו פעמיים. פעם אחת בגלל שהיה להם Cross Site Scripting (ולאבירם – נהוג לכנות אותם XSS, במיוחד כדי למנוע את הבילבול של מגיב מספר 4), ופעם שניה, החמורה יותר, שאתר froogle יכל היה לגשת ל-cookies ששייכים ל-gmail.

גם לגבי החלק השני, זה נובע מחוסר זהירות כפול. ראשית, בגלל שהם מפנים את gmail.com ל-gmail.google.com, ושנית בגלל שהם לא מגבילים את ה-cookies של gmail רק לאתר ההוא.

ניחא אם היה מדובר ברשלנות. כאן, כנראה, מדובר בזדון. אילו הן השערות בלבד, אבל אני מנחש שהסיבה שגוגל לא נזהרו היא מכיוון שהם רצו שתהיה גישה לזהות שלכם ב-gmail מתוך google. הם רצו, כשאתם מקלידים חיפוש, לדעת מיהו משתמש ה-gmail שהקליד את החיפוש הנ”ל. וזאת כדי שהם יוכלו להתאים לכם פרסומות. לזכותם יאמר שהם אמרו במפורש שזה מה שהם יעשו. רוב האנשים שאני מכיר רק הניחו שהם ייקחו את הזיהוי שלכם מתוך המייל שאתם מקבלים, לא מתוך החיפושים שאתם עושים בגוגל.

במצב כזה, אבל, גוגל לוקחים אחריות מפורשת על בטיחות הגלישה שלכם. כל בעיית אבטחה שקוראת כתוצאה מכך היא אחריותם הישירה. לגולשים אין מה, או איך, להזהר.

שחר

מאת

שחר שמש

מייסד–שותף וחבר ועד בתנועה לזכויות דיגיטליות מייסד שותף בעמותת „המקור”. פעיל קוד פתוח. מפתח שפת התכנות Practical

One thought on “יזהרו הגולשים?”

  1. לא, משתמש רגיל לא יוכל להבדיל בין לינק תמים ללינק זדוני (אני ואתה כנראה נוכל – כי ה- URL יהיה ארוך ויכיל סימנים מוזרים).
    מה שכן יכול המשתמש הרגיל לעשות זה לא ללחוץ על לינקים ל- gmail שנראים לו חשודים (כלומר, שהגיעו מאנשים שהוא לא סומך עליהם, למשל).
    כיוון שלא מדובר ב- CSS (כך אני כותב את זה. ’צטערת) במנוע קריאת האימייל של gmail (שהיה מפעיל את ההתקפה בלי ידיעתך בזמן שאתה קורא דואר) אלא ב- CSS שצריך ללחוץ עליו במפורש, אפשר בהחלט להזהר ולא ללחוץ על כל דבר, לפחות עד שמתקנים את הבעיה – דבר שלקח בסה"כ יום-יומיים.

    אם להשתמש באנלוגיה שלך, נוסעים באוטובוס יכולים להזהר ולהתריע אם הם רואים מישהו חשוד שאולי הוא מחבל מתאבד, והרוחצים בים צריכים לשים לב ולא להתרחץ בחופים לא מורשים, ששם אם יטבעו לא יהיה מי שיציל אותם.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

Bear