Lek in beveiliging tientallen betaalsites

Google-zoekrobot mag gratis naar binnen

13 juli 2004 | Stijn Wuyts Sommige betaalsites blijken toegankelijk zonder de portefeuille te hoeven trekken. Wie zich voordoet als de Google-zoekrobot kan alle beveiligde pagina's lezen. Dat ontdekte de Nederlandse IT-specialist Martijn Brinkers, meldt WebWereld. Je moet er wel enkele kunstgrepen voor uitvoeren, maar daarna kun je probleemloos betaalsites als Nature en Windows & .Net Magazine lezen.

De fout ligt eigenlijk bij de bouwers van de betaalsites. Door hun pagina's af te schermen met een loginnaam en wachtwoord, duiken deze niet op in de resultaten van een zoekopdracht bij Google. De Google-zoekrobot die websites indexeert, wordt immers ook bij de voordeur tegengehouden omdat hij zich niet kan aanmelden. De makers van dergelijke sites probeerden daar een mouw aan te passen door alleen de Google-zoekrobot vrije doorgang te verlenen. Maar wie zijn browser zo instelt dat die zich als de zoekrobot aanmeldt, weet hiervan dus ook te profiteren.

Wie zijn browser zich wil laten voordoen als de Google-bot dient de instellingen van de "user agent" te wijzigen. Dat gaat het simpelst door de Mozilla Firefox browser te gebruiken en daarvoor de User Agent Switcher plugin te installeren. Vervolgens is via het menu "Tools - User agent switcher - Options" de user agent te wijzigen in "Googlebot/2.1 (+http://www.googlebot.com/bot.html)". Vanaf dat moment is het mogelijk om als de Google-zoekrobot op het web te surfen, en toegang tot sommige betaalsites te verkrijgen.

Een heleboel sites blijken gevoelig voor dit lek. Het gaat daarbij niet alleen om betaalsites, zoals het eerder vermelde Nature en WinNet Magazine, maar ook om sites die een gratis registratie vereisen, bijvoorbeeld de kranten Trouw en NRC. Om dergelijke gratis registraties te omzeilen, werden eerder al plugins uitgebracht. De truc met de user agent werkt trouwens niet bij elke site die om een registratie vraagt. De site van De Standaard bijvoorbeeld is ook voor de Google-robot niet volledig toegankelijk. Bovendien zal het lek waarschijnlijk snel gedicht worden, want site-eigenaars kunnen simpelweg een extra controle op het IP-nummer van de afzender inbouwen om bijvoorbeeld Google wel toegang te geven, maar de rest van de wereld niet. Lees meer artikels over : google, veiligheidslek, beveiliging, hacker, hacken

bron: ZDNet, WebWereld