Lek in beveiliging van tientallen betaalsites

Google-zoekrobot mag gratis binnen

13 juli 2004 | Stijn Wuyts Op sommige betaalsites kan je binnen zonder je portefeuille boven te moeten halen. Het volstaat om je voor te doen als de Google-zoekrobot om alle beveiligde pagina's te kunnen lezen. Dat ontdekte de Nederlandse IT-specialist Martijn Brinkers, meldt WebWereld. Je moet er wel enkele kunstgrepen voor uitvoeren, maar eens die actief zijn, kan je probleemloos betaalsites als Nature en Windows & .Net Magazine lezen.

De fout ligt eigenlijk bij de makers van de betaalsites. Door hun pagina's af te schermen met een inlognaam en wachtwoord duiken ze ook niet op in de resultaten van een zoekopdracht bij Google. De Google-zoekrobot die websites indexeert, wordt immers ook aan hun voordeur tegengehouden omdat hij geen inloggegevens heeft. De getroffen sites probeerden daar een mouw aan te passen door enkel de Google-zoekrobot vrije doorgang te verlenen. Maar wie zijn browser zo instelt dat die zich als de Google-zoekrobot aanmeldt, kan hiervan dus ook profiteren.

Om je browser zich als de Google-zoekrobot te laten voordoen, dien je de instellingen van de user agent te wijzigen. Dat gaat het eenvoudigst als je de Mozilla Firefox-browser gebruikt en daarvoor de User Agent Switcher-plug-in installeert. Vervolgens kan je via het menu Tools - User agent switcher - Options de user agent wijzigen in Googlebot/2.1 (+http://www.googlebot.com/bot.html). Vanaf dan surf je over het Web als de Google-zoekrobot en krijg je dus ook meteen toegang tot sommige betaalsites.

Een heleboel sites blijken onderhevig aan dit lek. Het gaat dan niet enkel om betaalsites zoals het eerder vermelde Nature en WinNet Magazine, maar ook om sites die gratis registratie vragen, bijvoorbeeld de Nederlandse kranten Trouw en NRC Handelsblad. Om dit soort gratis registraties te omzeilen, waren er echter eerder al plug-ins uitgebracht. De truc met de user agent werkt trouwens niet bij iedere site die een registratie vereist. De site van De Standaard bijvoorbeeld, is ook niet voor de Google-robot volledig toegankelijk. Wellicht zal dit lek bovendien snel gedicht worden, want de eigenaars van de getroffen sites kunnen simpelweg een extra controle op het IP-nummer van de afzender inbouwen om Google nog wel, maar de rest van de wereld geen toegang meer te geven. Lees meer artikels over : google, veiligheidslek, beveiliging, hacker, hacken

bron: ZDNet, WebWereld