Wie 'heise.de' am 1. Januar berichtete, gibt oder zumindest gab es in Google-Mail ein peinliches Sicherheitsproblem: Wenn jemand aus einem Mail heraus einen Link öffnet und auf eine andere Webseite surft, kann theoretisch von dieser Webseite aus seine Kontaktliste gelesen werden. Gemäss 'heise' wird das Problem davon verursacht, dass diese Liste von Google-Mail als JavaScript-Code unter einer vorhersagbaren URL ablegt wird. Wenn eine Webseite diese URL als Script einbinde, könne sie darum Zugriff darauf erhalten.

Auf dem Web gab es gemäss 'Heise' einige Demo-Sites, die erfolgreich zeigen konnten, wie das Loch ausgenutzt wird. Google habe aber inzwischen reagiert und zumindest diese Demos würden nicht mehr funktionieren.

Unbekannt ist aber, ob Google das grundlegende Problem behoben hat, oder ob nur die statischen URLs geändert wurden. Peinlich für den Suchmaschinenriesen ist die Sache auch darum, weil anscheinend ein Sicherheitsexperte schon vor einem Jahr auf das grundsätzliche Problem hingewiesen hat. (hjm)