Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 22/10/2004
To år efter det blev opdaget, har Google lukket et sikkerhedshul, der gjorde det muligt at stjæle data fra søgetjenestens brugere.Hullet er af typen cross-site scripting. Det var muligt at indtaste såkaldte script-kommandoer i et søgefelt, uden at de blev sorteret fra af Google. Den type sårbarhed kan udnyttes til at få et andet websted til at se ud som Google. Ejeren af det andet websted kan så opsamle al information, der indtastes i søgeboksen.
En bruger ved navn Jim Ley opdagede sikkerhedshullet i 2002 og skrev til Google om det. Han oplyser, at Google dengang øjensynlig prøvede at lukke hullet, men at det ikke lykkedes.
Han har siden lavet et eksempel på, hvordan sårbarheden kan udnyttes i et såkaldt phishing-angreb, hvor man franarrer brugere fortrolige informationer. Efter det blev offentliggjort, lukkede Google sikkerhedshullet.
Jim Ley skriver på sit websted, at hullet ikke er fuldstændig lukket, men at risikoen er blevet meget mindre. Google har nemlig fjernet muligheden for at afvikle Vbscript, Javascript og Perlscript, men hvis brugere har andre programmeringssprog installeret i browseren, kan de udnyttes. Det har de færreste, så dermed er risikoen ikke særlig stor længere.