Ist Snowden einen russischen Staatsbürger? Nein, es ist nur ein Trick, Google Translate

2014-01-08  |  Comebuy News

Die Ankündigung erschien in kleiner Schrift auf der russische Präsident Website: "lassen Sie mich aus meinem Herzen sprechen: Edward Snowden ist ein russischer Staatsbürger. Dank @homakov!"

Comebuy Verwandte Artikel: Ecuador unter Berücksichtigung Snowdens Asyl RequestSnowden sucht Asyl aus mehreren Ländern, darunter China, RussiaTesty U.S. Beamten fordern Rückkehr der NSA Dokument Leaker SnowdenReports: Edward Snowden sucht Asyl in RussiaPutin schlägt Snowden reagiert undicht Dokumente

Der Twitter-Griff gehört zur Egor Homakov, ein Sicherheitsexperte mit einer Penetrationstests-Gruppe mit dem Namen Sakurity, die Freiberufliche Beratung.

Homakov der gefälschten Nachricht erscheinen nicht tatsächlich auf Putins Webseite. Stattdessen fand Homakov einen Trick, der ihm erlaubt, ein Benutzer von Google Translate, die er in seinem Blog beschreibt gelieferten Inhalte zu ändern.

Interessanterweise stimmen Homakov und Google, dass seine Feststellung ist nicht wirklich ein Sicherheitsproblem pro se. "wie der Forscher am Ende seiner ursprünglichen Blog-Post, impliziert dies wirklich keine Sicherheitslücke, laut Aussage von einem Google-Sprecherin ist".

Stattdessen verwendet Homakov JavaScript, um die Art und Weise zu manipulieren, was, die Google übersetzte Inhalte von einer ursprünglichen, nicht übersetzte Seite dient.

Wenn Google etwas übersetzt, gibt den Inhalt in einer gehosteten, separate Sandbox Domäne zurück: "translate.googleusercontent.com." Es kann Drittanbieter-Skripts laufen in dieser Domäne, die es, z. B. erlauben Homakov um den Inhalt zu ändern.

Google, die Sicherheitsexperten Belohnungen für die Suche nach bestimmten Arten von Softwarefehlern, rät, daß es nicht für Cross-Site scripting Schwachstellen in zahlt der ". googleusercontent.com" Domäne.

Die Firma sagte, dass es eine Anzahl von Domänen verwaltet, mit denen die same-Origin-Policy, eine komplizierte Reihe von Bedingungen sollen zulassen Interaktionen zwischen Websites in derselben Domäne doch Einmischung aus anderen Quellen.

Im Fall von ". googleusercontent.com," Google sagt, dass "es sei denn, eine Auswirkung auf vertrauliche Benutzerdaten nachgewiesen werden kann, wir nicht die Fähigkeit zur Ausführung von JavaScript in dieser Domäne einen Fehler betrachten."

Noch, Homakov's Trick ist amüsant, nicht weniger weil Snowden, ein ehemaliger NSA-Auftragnehmer Chargen von temperaturempfindliche Materialien dokumentiert US Regierung Überwachung Bemühungen, veröffentlichte noch in Russland gestrandet ist, während er versucht, auf sicheren Asyl.

Homakov's Experiment beweist auch, dass Benutzer vielleicht vorsichtig sein, wenn Google Translate benutzen will: Wenn der Inhalt fast unglaublich ist, könnte es am besten, ein native Speaker die Übersetzung bestätigen zu finden sein.

Senden Sie News Tipps und Kommentare an jeremy_kirk@idg.com. Folge mir auf Twitter: @jeremy_kirk

« Back