Google Drive gibt Zugriff auf das gesamte Google-Konto
von caschy | 38 Kommentare
Vorab: keine Panik, alles ist schick, alles ist schön. Dieser Beitrag will weder Panik verbreiten, sondern nur kurz informieren. Stellt euch euren Google Drive und die bei Google Docs online erstellten Dokumente vor. Die werden lokal in der Google Drive-Software, beziehungsweise eurem Explorer angezeigt – aber eigentlich sind es nur Verknüpfungen auf die Dokumente auf Googles Servern.
Das Interessante: bei Ausführung dieser Verknüpfung wird der Browser geöffnet – mit eurem Konto. Vollzugriff auf Dokumente, Mail, Kalender & Co – und das Ganze, ohne dass ihr euren Benutzernamen oder euer Passwort eingegeben habt.
Im ganzen System, im Browser oder sonst wo muss kein Benutzername oder Passwort gespeichert sein – trotz alledem hat derjenige direkten Zugriff auf euer komplettes Google-Konto.
Warum? Das angeklickte Dokument, aka Verknüpfung authentifiziert sich über den eingeloggten Google Drive und gibt diesen Token an den Browser weiter. Solltet ihr vielleicht mal bedenken – wobei ihr eh ganz andere Probleme habt, wenn jemand physikalisch Zugriff auf euren Rechner hat. TrueCrypt, Bitlocker und Co sollen helfen 🙂
Wird geladen ...
Die Idee ist mir Heute in die Birne gekrochen: 😀
Ist es möglich die Dokumente aus GDrive die im Windows Explorer eingebunden sind direkt in einer Google Chrome Anwendungsverknüpfung zu öffnen?
Wäre um einiges schöner.
Das ist bei Dropbox im Prinzip doch genau so.
Wieso muss ich eigentlich immer an die Commerzbank denken wenn ich das Drive Logo sehe? 😛
Ich finde das Suboptimal mit dem komplett eingeloggt sein ist aber eigentlich logisch weil man immer überall eingeloggt ist wenn man sich bei irgendein Google dienst anmeldet.
@wuyujode
Ne, bei DropBox muss sich die jeweilige Datei im „Puplic“ Ordner befinden damit sie auch öffentlich im Browser angesehen werden kann.
Bei GDrive hat man hingegen, so wie ich das verstanden habe, auf das ganze Konto Zugriff.
@wuyujode Nö, überhaupt nicht
Macht dropbox auch und ist auch nichts heimliches:
https://accounts.google.com/b/0/IssuedAuthSubTokens
Bei Dropbox ist es prinzipiell genau so – aber Dropbox bietet auch keine weiteren Dienste an, d.h. Dropbox bietet online nur das, was eh auf der Festplatte des Rechners ist. Google Drive-Nutzer aber gewähren aus Unwissenheit evtl. Zugriff auf ihr Google-Konto inkl. aller Dienste.
Bitlocker hilft da aber nicht wirklich Caschy:)
Also Google ist Google, ich benutze ein Login für alle Dienste. Von daher nur sinnvoll und logisch das ich mit laufendem und ‚eingeloggtem‘ GoogleDrive auch für die anderen Web-Dienste bereits eingeloggt bin.
Also ich muss ans Logo vom Deutschen Jugendherbergsbund denken =)
@ Marco:
Ging mir ebenfalls so. Das Logo ist wirklich wenig einfallsreich und extrem leicht mit dem der Deutschen Jugendherberge zu verwechseln.
Aber irgendwelche Designer werden sich dabei viel gedacht haben, grade wenn es um den Bekanntheit einer Marke gehen soll. Je einfacher ein Logo gestrickt ist, desto besser lässt es sich merken.
Was ich viel verwirrender finde, ist, dass das Rot fehlt.
Bin ich der einzige den das Logo an nichts erinnert sondern genau weiss wo es herkommt? Und zwar vom Promt Translator. Das ist nur ne 180 Grad Drehung von ner 1:1 Kopie entfernt. Und Kurioserweise hat Promt das Logo grade ausgemustert ^^
das ganze ist doch nur dann „gefährlich“ wenn man in GoogleDocs Dokumente hat, die man nicht selber lokal auf der Festplatte hat?
Und die Verknüpfungen samt Token liegen im eigenen Benutzer Konto. Hat jemand Zugriff aufs Benutzerkonto, dann hat der so auch Zugriff auf google Dienste. Dürfte für die Meisten aber kein Problem sein, zumal viele die ich kenne sowieso PAsswörter speichern oder Dienste wie LastPass nutzen. Da hätte dann auch jeder mit Benutzerkontozugriff Google-Account Zugriff.
Viel schlimmer finde ich, dass man bei google Drive keine anwendungsspezifischen Passwörter angeben kann.
Jetzt dümpeln Google (MASTER!)-Passwörter irgendwo auf den Rechnern der Drive User rum. Und da interessiert es herzlich wenig ob das irgendwie gehasht ist, sowas geht ja mal garnicht! Soviel zu Googles Sicherheit.
Das PW ist bestimmt nicht lokal im klartext gespeichert!
Es heraus zu finden ist für normalos nicht möglich und das FBI kann gleich google fragen^^
Steht doch da keine Panik!
Immer die Leute die Angst um ihre daten und PWs haben aber bestimmt überall das gleiche PW und daten nix verschlüsselt^^
BTW vor den nutzen einer Tastatur immer zuerst auf Hardwarekeyloger-Suche gehen.
@ich
Schwachfug!
Natürlich ist es gehasht gespeichert, und? Dann logge ich mich eben direkt mit dem Hash in dein Konto ein, drin ist drin.
Und es geht nicht um Behörden sondern um Leute die – warum auch immer – irgendwie Zugriff auf meinen Rechner erhalten.
Zum Thema Sicherheit:
Meine Datenplatten sind mit Truecrypt (3 unterschiedliche Chiffren je 256 Bit) mit einem 25 stelligen PW gesichert (groß, klein, Sonderzeichen – natürlich ohne Muster: Zufallsgeneriert). Grundsätzlich benutze ich für jede Internetseite eigens dafür erstellte, zufallsgeneriere Passwörter die ebenfalls zwischen 20 und 30 Zeichen lang sind (mit einigen Ausnahmen bei Webseiten die solche Passwörter nicht erlauben).
Diese sind in einem PW Manager (256Bit AES, 10.000 Runden PBKDF2) gesichert an welchen ich mich nur mit einem ebenfalls 20 Zeichen langen Passwort und einem zweiten Faktor anmelden kann (OTP). Zusätzlich ist mein Google Account, als extrem kritische Anwendung, noch mit einem 3ten Faktor gesichert. Weiterhin nutzen alle Anwendungen die darauf zugreifen anwendungsspezifische Passwörter. Besonders kritische Daten lege ich gemäß plausible deniability in zusätzlichen Truecrypt Containern mit anderen Chiffre Paaren (je 256 Bit) und zusätzlichen 25 Zeichen Passwörtern ab.
Check ich nicht. Bei PDFs ist das nicht so. Legt mal ne 5 MB große PDF-Datei da rein, die ist lokal physikalisch und in voller Dateigröße vorhanden. Und nu?
@Gequeoman: Es geht ausschließlich um Google Docs-Dokumente mit der Endung .gdocs. Die kann lokal kein Programm interpretieren, weshalb sie im Browser geöffnet werden.
LOL
@masi
Mich würde mal interessieren, was für hoch brisante Daten auf deinem System gespeichert liegen… Urlaubfotos, Bewerbungen und die Spiel Stande von BFBC und Sims?!?! Rofl
Man kann wirklich: immer alles schwarz sehen und sollte sich lieber mal um diese vielen genialen technischen Neuerungen freuen 😉
Viele von uns kennen die Anfangszeit ohne Internet, erkläre das mal deinen Kinder 😉