В это воскресенье исследователь Айдан Вудс сообщил в своём блоге, что обнаружил уязвимость в странице аутентификации пользователя Google.
В чём заключается уязвимость?
У страницы Google, на которой пользователь должен вводить свой логин, есть поддерживаемый параметр continue, который может перенаправить пользователя на какой-либо адрес (но только если он содержит домен .google.com) после успешного ввода данных.
Всего-то? Как это вообще может считаться уязвимостью?
Дело в том, что если добавить к странице аутентификации ?continue=http://www.google.com/amp/tproger.ru, то после ввода данных пользователя перенаправит на главную страницу Tproger. Таким же образом можно перенаправлять пользователя абсолютно на любую страницу, в том числе фишинговую. Скажем, пользователя можно перенаправить на страницу, которая сообщит, что пароль введён неверно, и попросит ввести данные заново. После ввода данные конечно же попадут к злоумышленникам. Таким же образом пользователя можно заставить скачать вредноносный файл.
В Google будут это исправлять?
В том-то и дело, что нет. Айдан опубликовал свою переписку с технической поддержкой Google. Ему ответили, что компания тратит достаточно усилий на информирование пользователей о возможности фишинга, а потому эта особенность их страниц не будет считаться уязвимостью (и не будет исправляться). Айдан предполагает, что огласка этой «фичи» может заставить Google изменить свою позицию.
