Artikel top billede

Google efter sikkerhedskritik: Google Docs er ok

Man kan roligt bruge Google Docs, forsikrer Google, efter kritik fra en sikkerheds-ekspert.

Computerworld News Service: Brugere af Google Docs har ingen grund til at ligge søvnløse om natten over sikkerhedsbekymringer, som en sikkerhedsanalytiker har rejst angående de hostede kontorprogrammer, lyder det fra Google.

I et blogindlæg giver Jonathan Rochelle, som er produktleder for Google Docs, en udførlig forklaring på, hvorfor problemerne fra analytikerens rapport langt fra er alvorlige.

Googles konklusioner kommer ikke som nogen overraskelse.

Få timer efter Ade Barkah offentliggjorde sin rapport, kom Google med en foreløbig udtalelse om, at virksomheden var i gang med at undersøge sagen, men at den ikke regnede med at finde væsentlige sikkerhedsproblemer med Docs.

Google mener dog tilsyneladende, at Barkahs rapport alligevel er noget værd. Virksomheden har tilføjet information fra Barkahs observationer til dets support-sider til Docs om at oprette tegninger og om at tilføje samarbejdspartnere og tilskuere til sine dokumenter.

Undersøger alternative design-muligheder

Herudover vil Google muligvis foretage ændringer i Docs som et resultat af Barkahs rapport.

"Vi undersøger også alternative design-muligheder, der yderligere kan imødegå disse bekymringer. Vi vil gerne takke analytikeren for at dele sine bekymringer med os," skriver Rochelle.

Da Barkah blev bedt om at give en kommentar til Rochelles blogindlæg, forklarede han, at han ikke er færdig med sin sikkerhedsanalyse af Google Docs.

"På nuværende tidspunkt fremkommer der stadig nye detaljer og testscenarier. Jeg værdsætter den fremragende feedback, jeg får fra Google Security. Jeg fortsætter med at dele mine nyeste resultater med dem og vil kunne give flere kommentarer, når vores analyse er færdig," forklarer han i en e-mail.

Tre fejl i måden, man deler Docs-filer på

Google Docs er et gratis, selvstændigt produkt samt en del af den bredere samarbejds- og kommunikationspakke Google Apps, som findes i både gratis og abonnementsbaserede versioner, og som er designet til brug på arbejdspladsen.

Barkah, som er stifter af enterpriseapplikations-konsulentfirmaet BlueWax, der hører hjemme i canadiske Toronto, fremhæver, hvad han ser som tre fejl i måden, hvorpå filer deles i Docs.

Det gør det muligt for folk at invitere andre til at læse og redigere deres tekstdokumenter, regneark og præsentationer.

Barkah siger, at billeder indsat i et dokument får deres egen url, så enhver, der har fået adgangsrettigheder til dokumentet, kan fortsat downloade billederne, selvom dokumentet slettes, eller dokumentets ejere fjerner en brugers rettigheder.

"Hvis man indsætter et billede i et beskyttet dokument, så forventer man, at også billedet beskyttes. Slutresultatet udgør en potentiel sikkerhedsbrist," skriver Barkah.

Google: Billeder og dokumenter opbevares uafhængigt
Rochelle modargumenterer med, at billeder opbevares uafhængigt af deres dokumenter for at undgå at knække eventuelle referencer til dem i andre dokumenter og eksterne blogs, hvis de dokumenter, de er indsat i, slettes.

"Herudover er url'er til billeder kun kendt af brugere, der på et eller andet tidspunkt for haft adgang til det dokument, som et billede er indsat i, og disse brugere kunne således alligevel have gemt en lokal kopi af billedet - hvilket man må forvente," skriver Rochelle.

I sidste ende kan dokument-ejere anmode om, at billeder slettes fra deres konto ved at sende en e-mail til Googles support-team på docsimagedelete@google.com.

Adgang til revisions-historie

Barkah påpeger desuden, at alle, der har adgang til et dokument, kan se alle eventuelle tidligere versioner af diagrammer i dokumentet ved blot at ændre i billedets url.

I sit svar peger Rochelle på, at det er en af Docs' funktioner, at samarbejdsparterne også har adgang til et dokuments revisionshistorie, og det er kun folk med adgangsrettigheder til et dokument, der kan se tidligere versioner af en tegning i dokumentet.

Overvejer at afskære tilskuere fra at kigge med

"Vi vil muligvis overveje at afskære tilskuere fra adgang til tidligere versioner af tegninger," skriver Rochelle.

"Indtil videre kan dokument-ejere, der beslutter, at de ikke ønsker, at tilskuere har adgang til revisionshistorien, blot lave en ny kopi af dokumentet - fra fil-menuen - og dele den ny version. Revisionshistorien for både dokumentet og alle indsatte tegninger slettes i kopier af dokumenter."

Barkah beskriver ikke udførligt den sidste bekymring i sin rapport i tide til, at Google har været i stand til at nå at udføre fejlfinding, men han skriver, at der i visse tilfælde er et problem med, at samarbejdspartnere, som ikke længere har adgangsrettigheder til et dokument, stadig kan få adgang til dokumentet uden ejerens viden og tilladelse.

Rochelle forklarer, at dette scenarium involverer brugen af en Docs-funktion, der gør det muligt for invitationer at få adgang til dokumenter, der skal videresendes til flere end en person.

Google har tilføjet denne funktion på grund af anmodninger fra brugere, der ønsker at videresende invitationer og dele dokumenter med hele mailinglister.

"Invitationer, der sendes ved hjælp af denne funktion indeholder en særlig nøgle i dokumentets link. Denne funktion kan på ethvert tidspunkt slås fra for derved at gøre tidligere distribuerede invitationer, der indeholder denne særlige nøgle, forældede. For at gøre dette skal man blot slå denne funktion fra ved at klikke et flueben væk - for dokumenter og præsentationer gælder det 'invitations may be used by anyone' og for regneark gælder det 'editors can share this item'," skriver Rochelle.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere