Ieri abbiamo individuato una Open Redirect su Google, ricevendo come risposta alla segnalazione fatta un “won’t fix“, ovvero non abbiamo intenzione di “correggere”.
Per chi non lo sapesse l’Open Redirect consiste in una pagina che accetta come parametro GET un link e reindirizza il visitatore verso quest’ultimo (ad es. http://www.sito.it/redirect.php?url=http://ciao.it ).
A primo impatto questo tipo di comportamento della pagina può sembrare del tutto normale e innocuo, ma proviamo ad immaginare uno scenario di vita quotidiana.
Supponiamo di ricevere una mail che sembra esserci stata mandata proprio da Google con all’interno un link, da buone persone diffidenti passeremo il nostro cursore sul link per vedere la destinazione e capire se effettivamente rimanda a un dominio *.google.com o verso un sito di phishing (ad es. www.goggle.com ) ed in quest’ultimo caso cancelleremo la mail. Purtroppo la presenza di una Open Redirect su Google cambierebbe tutto, dato che il sito che vedremo passando il nostro cursore sul link sarebbe qualcosa tipo www.google.com/pagina?url_redirect=http://www.goggle.com, il che ci spigerebbe ad aprirlo, considerando la destinazione legittima.
Nella risposta dal team di sicurezza di Big G veniva d’altra parte evidenziato il fatto che loro monitorano le open redirect presenti nei loro servizi per impedire che ne si abusi per scopi di phishing, lasciandoci comunque perplessi perché questo permette comunque attacchi mirati.
Nello specifico la Open Redirect da noi trovata sembra essere presente da diverso tempo e usata anche per diversi scopi legittimi e risiede in https://appengine.google.com/_ah/logout?continue=[URL]
Cosa ne pensate della politica di Google in questa situazione?
Se riceveste una mail con questo link lo aprireste?
Nota: Cliccando sul link precedente verreti disconnessi da Google e reindirizzati su http://www.shinysearch.com/prank/fakegoogle.php, vi lasciamo immaginare cosa potrebbe succedere se il link del reindirizzamento fosse diverso!
L'articolo Google ignora le Open Redirect sembra essere il primo su Shielder - Web Security & Design.