Identitätsklau mit Googles Web Accelerator

Ein viel beachteter Artikel auf ZDNet berichtet über einen Vorfall, den ein Benutzer des Tools Google Web Accelerator in den Google Labs Diskussionsforen gemeldet hat. So fiel einem Nutzer beim Besuch der Futuremark-Diskussionsforen auf, dass er mit einer anderen als seiner eigenen Identität angemeldet war. Besorgniserregend: Zuvor war er mit dem Web Accelerator auf diversen Seiten unterwegs gewesen, wo er sich mit persönlichen Informationen angemeldet hatte. Es lässt sich nur darüber mutmaßen, inwieweit dieses Sicherheitsleck schon zum Schaden Fremder ausgenutzt wurde.

Es bieten sich mehrere Maßnahmen zur Umgehung dieses Problems an. Die brachialste Lösung ist, den Web Accelerator nicht einzusetzen. Wer dennoch die Vorteile dieses Tools nutzen möchte, sollte Seiten, die Benutzer über Cookies identifizieren -- zum Beispiel Diskussionsforen, die ein automatisches Login über Cookies unterstützen -- von der Übertragung durch den Web Accelerator ausnehmen. Eine Einrichtungs-Anleitung findet sich auf den Hilfe-Seiten von Google. Da das Tool SSL-Verbindungen von vornherein nicht verarbeitet, sollten zumindest empfindliche Daten, wie sie unter anderem beim Homebanking anfallen, sicher sein.

Google bietet den Web Accelerator kostenlos als Betaversion an. Der Turbolader für das Web beschleunigt den Zugriff auf Websites, indem einige Google-Server als Proxy fungieren. Hierbei werden unter anderem Cookies der Nutzer temporär zwischengespeichert, was dieser unfreiwilligen Preisgabe persönlicher Daten Tür und Tor öffnet. Google hat bis jetzt auf dieses Problem noch nicht reagiert -- allerdings wies das Unternehmen in dem Privacy Statement zum Programm darauf hin, dass eben diese Cookies auf den Google-Servern kurzzeitig abgelegt werden. (Dirk Knop) / (Dirk Knop) / (cm)