Googling around Passwords
The Register hat ein uraltes fast verschimmeltes Faß wieder aufgemacht, den Google Cache. Spätestens seit Johnny Long wissen wir, daß Google sensible Daten nicht nur indiziert sondern möglicherweise auch laaaaaange in seinem Cache vorhält. Das ist praktisch für uns, wenn eine Webseite versehentlich veröffentlichte Informationen schnell beseitigen will. Und natürlich doof für den Webseitenbetreiber.
The Register ist nun aufgefallen, daß man damit teilweise auch ohne Zugangsdaten auf das “Dark Web” zugreifen kann, jeden Teil des Internets der durch Login und Passwort geschützt ist und deshalb von Suchmaschinen kaum erfasst wird. Einige Anbieter haben dieses Problem erkannt und versuchen Interessenten auf ihre Seiten zu locken, indem Suchmaschinen die kompletten Inhalte passwortfrei präsentiert werden, der normale User sich aber weiterhin anmelden muß.
Jedem ist klar, daß das nicht funktioniert. Entweder ändert der geneigte User seinen Browserstring und mimikriert eine Suchmaschine oder er holt sich die Daten direkt aus dem Cache. Dank Oxy weiß das nun auch jedes Skriptkiddie:
- Find a protected forum.
- Type cache:[http://www.protectedsite.com] into Google. There is also a variation of this which involves disguising your browser as a Google Bot. I am aware that there is a plugin for Firefox that can do this for you.
Na dann … Happy Hacking und beachtet das 11. Gebot!
Tags: Cache, Google, Passwort