Googling around Passwords
The Register hat ein uraltes fast verschimmeltes Fass wieder aufgemacht, den Google Cache. Spätestens seit Johnny Long wissen wir, dass Google sensible Daten nicht nur indiziert sondern möglicherweise auch laaaaaange in seinem Cache vorhält. Das ist praktisch für uns, wenn eine Webseite versehentlich veröffentlichte Informationen schnell beseitigen will. Und natürlich doof für den Webseitenbetreiber.
The Register ist nun aufgefallen, dass man damit teilweise auch ohne Zugangsdaten auf das „Dark Web“ zugreifen kann, jeden Teil des Internets der durch Login und Passwort geschützt ist und deshalb von Suchmaschinen kaum erfasst wird. Einige Anbieter haben dieses Problem erkannt und versuchen Interessenten auf ihre Seiten zu locken, indem Suchmaschinen die kompletten Inhalte passwortfrei präsentiert werden, der normale User sich aber weiterhin anmelden muss.
Jedem ist klar, dass das nicht funktioniert. Entweder ändert der geneigte User seinen Browserstring und mimikriert eine Suchmaschine oder er holt sich die Daten direkt aus dem Cache. Dank Oxy weiß das nun auch jedes Skriptkiddie:
- Find a protected forum.
- Type cache:[http://www.protectedsite.com] into Google. There is also a variation of this which involves disguising your browser as a Google Bot. I am aware that there is a plugin for Firefox that can do this for you.
Na dann … Happy Hacking und beachtet das 11. Gebot!