Special Report: Acting DNI Testifies Before Congress On Trump Ukraine Phone Call | NBC News
Las conclusiones de Google no son una sorpresa. Horas después de que Ade Barkah publicara su informe el jueves, Google respondió con una declaración preliminar que decía que estaba investigando el asunto, pero que no creía que hubiera problemas de seguridad significativos con Docs.
[Más información: cómo eliminar el malware de su Windows PC]
Sin embargo, Google evidentemente ve algo de mérito en el informe de Barkah. Google ha agregado información sobre las observaciones de Barkah a sus páginas de "ayuda" sobre cómo crear dibujos y sobre cómo agregar espectadores y colaboradores a los documentos.Además, Google puede realizar cambios en los Documentos como resultado del informe de Barkah. "También estamos explorando opciones de diseño alternativas que podrían abordar las preocupaciones. Queremos agradecer al investigador por compartir sus inquietudes con nosotros", escribió Rochelle.
Al pedirle un comentario sobre la publicación del blog de Rochelle, Barkah indicó que no está hecho con su análisis de seguridad de Google Docs. "En este momento, aún están surgiendo nuevos detalles y escenarios de prueba. Agradezco los excelentes comentarios que estoy recibiendo de Google Security. Continúo compartiendo mis hallazgos más recientes con ellos, y podré comentar más una vez que nuestro análisis sea completo ", dijo por correo electrónico.
Google Docs es un producto independiente y gratuito, así como un componente de la suite de colaboración y comunicación más amplia, Google Apps, que viene en versiones gratuitas y de pago y está diseñado para uso en el lugar de trabajo.
Barkah, fundador de BlueWax, una empresa de consultoría de aplicaciones con sede en Toronto, destacó tres fallas en la forma en que se comparten los archivos en Docs, lo que permite invitar a otras personas a ver y editar sus documentos de procesamiento de textos, hojas de cálculo y presentaciones.
Primero, Barkah señaló que a las imágenes REPLACEadas en un documento se les asigna su propia URL, de modo que alguien a quien se le ha dado acceso al documento puede seguir activando la imagen incluso si el documento se elimina o si el propietario del documento elimina sus derechos de acceso. "Si REPLACEa una imagen en un documento protegido, también esperaría que la imagen esté protegida. El resultado final es una fuga potencial de privacidad", escribió Barkah.
Rochelle respondió que las imágenes se guardan independientemente de los documentos en los que aparecen por miedo a que eliminarlos rompería las referencias a ellos en otros documentos y blogs externos. "Además, las URL de imágenes solo son conocidas por los usuarios que en algún momento tuvieron acceso al documento en el que está incrustada la imagen y, por lo tanto, pudieron haber guardado la imagen, lo cual es totalmente esperado", escribió Rochelle.
En última instancia, los propietarios de documentos pueden solicitar que se eliminen las imágenes de sus cuentas enviando un correo electrónico al equipo de soporte de Google a [email protected].
La segunda observación que Barkah hizo sobre la capacidad de alguien con quien compartir un documento para ver todas las versiones de cualquier diagrama contenido en él modificando la URL de la imagen.
En su respuesta, Rochelle señala que permitir a los colaboradores ver el historial de revisión de un documento es una función de Documentos, y que las únicas personas que pudieron ver revisiones pasadas de un los dibujos son aquellos a quienes se les ha dado acceso al documento.
"Podemos considerar explícitamente evitar que los espectadores accedan a las revisiones de los dibujos", escribió Rochelle. "Por ahora, si los propietarios de los documentos deciden que no quieren que los espectadores tengan acceso a sus revisiones, simplemente pueden hacer una nueva copia del documento, desde el menú Archivo, y compartir esa nueva versión. El historial de revisión de ambos el documento y todos los dibujos incrustados se eliminan en copias de documentos. "
Barkah no detalló su preocupación final en su informe para darle tiempo a Google para solucionarlo, pero dijo que permitió, en algunos casos, a los contribuyentes cuyo acceso a un documento se ha eliminado para volver a entrar sin el conocimiento y permiso del propietario.
Rochelle explicó que el escenario implica el uso de una función de Documentos que permite que las invitaciones para acceder a los documentos se envíen a más de una persona. Google agregó esta función en respuesta a las solicitudes de usuarios que deseaban reenviar invitaciones y compartir documentos con listas de correo electrónico.
"Las invitaciones enviadas mediante esta característica contienen una clave especial en el enlace del documento. Esta función se puede deshabilitar en cualquier momento para caducar las invitaciones distribuidas previamente que contienen esa clave especial. Para ello, simplemente desactive esta función desmarcando: en documentos y presentaciones, se llama "las invitaciones pueden ser utilizadas por cualquier persona" y en las hojas de cálculo sus editores pueden compartir este elemento, "Rochelle escribió.
Los controles de privacidad y seguridad en las aplicaciones alojadas de Google han aparecido recientemente en las noticias. La semana pasada, el Electronic Privacy Information Center presentó una demanda solicitando a la Comisión Federal de Comercio de Estados Unidos que impida a Google ofrecer servicios alojados que recopilan datos hasta que se puedan verificar los controles de privacidad.
Google reconoció que un error en Docs ocasionó algunos documentos para exponer a los usuarios sin el permiso correspondiente. El problema ocurrió entre usuarios que habían compartido documentos previamente. La compañía dijo que afectaba menos del 0,05 por ciento de los documentos.
Nota del editor: el porcentaje de documentos de Google afectados por el error se corrigió el 28 de marzo de 2008.
E-mails sobre cambio climático pirateado resaltan las preocupaciones de seguridad
En el calor del debate sobre cambio climático provocado por mensajes de correo electrónico pirateados ha habido poca discusión sobre cómo se filtraron los correos electrónicos. En un mundo conectado, la seguridad y la privacidad son más importantes y más difíciles de conseguir.
Las demoras en proyectos de Google Apps destacan las preocupaciones de seguridad en la nube
El proyecto Google Apps de la ciudad de Los Angeles está retrasado debido a demoras causadas por preocupaciones sobre la confiabilidad de información confidencial a la nube.
China sigue siendo segura para externalización de TI, a pesar de las preocupaciones de seguridad de Estados Unidos, dice que la reputación de seguridad del proveedor
China Marcado por recientes acusaciones de Estados Unidos de piratería patrocinada por el estado, pero la nación sigue siendo un lugar seguro como subcontratista de tecnología para empresas extranjeras, según uno de los mayores proveedores de externalización de TI de China.