XSS уразливість в Google Apps
23:39 18.08.2007Учора RSnake знайшов Cross-Site Scripting уразливість в Google Apps. Про що він повідомив у своєму записі XSS Hole In Google Apps Is “Expected Behavior”.
Як він повідомив, Гугл несерйозно віднісся до його листа, і проігнорував дану уразливість, заявивши, що “це не баг, а фіча” (з подібним відношенням до безпеки мені іноді доводилось зтикатися). Тому він вирішив зробити full disclosure і опублікував детальну інформацію про дірку.
XSS:
В своєму записі RSnake привів текст відповіді команди Гугла, які несерйозно віднеслися до попередження про дану уразливість. До речі, в коментарях до цього запису, Erwin опублікував текст відповіді на його листа, коли він повідомив про XSS дірку в Blogspot. Так там взагалі гумор , Гугл просто зажигає з такими відповідями (в стилі “це не баг, а фіча”). З подібними відповідями Гугла, у них є реальні проблеми з безпекою.
Я вже писав про те, що Гугл мляво відреагував на уразливості опубліковані мною в Month of Search Engines Bugs. Лише з часом, вони спромоглися виправити одну з трьох уразливостей.