Google Drive gibt Zugriff auf das gesamte Google-Konto

Vorab: keine Panik, alles ist schick, alles ist schön. Dieser Beitrag will weder Panik verbreiten, sondern nur kurz informieren. Stellt euch euren Google Drive und die bei Google Docs online erstellten Dokumente vor. Die werden lokal in der Google Drive-Software, beziehungsweise eurem Explorer angezeigt – aber eigentlich sind es nur Verknüpfungen auf die Dokumente auf Googles Servern.

Das Interessante: bei Ausführung dieser Verknüpfung wird der Browser geöffnet – mit eurem Konto. Vollzugriff auf Dokumente, Mail, Kalender & Co – und das Ganze, ohne dass ihr euren Benutzernamen oder euer Passwort eingegeben habt.

Im ganzen System, im Browser oder sonst wo muss kein Benutzername oder Passwort gespeichert sein – trotz alledem hat derjenige direkten Zugriff auf euer komplettes Google-Konto.

Warum? Das angeklickte Dokument, aka Verknüpfung authentifiziert sich über den eingeloggten Google Drive und gibt diesen Token an den Browser weiter. Solltet ihr vielleicht mal bedenken – wobei ihr eh ganz andere Probleme habt, wenn jemand physikalisch Zugriff auf euren Rechner hat. TrueCrypt, Bitlocker und Co sollen helfen 🙂

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Die Idee ist mir Heute in die Birne gekrochen: 😀
    Ist es möglich die Dokumente aus GDrive die im Windows Explorer eingebunden sind direkt in einer Google Chrome Anwendungsverknüpfung zu öffnen?

    Wäre um einiges schöner.

  2. Das ist bei Dropbox im Prinzip doch genau so.

  3. Wieso muss ich eigentlich immer an die Commerzbank denken wenn ich das Drive Logo sehe? 😛

    Ich finde das Suboptimal mit dem komplett eingeloggt sein ist aber eigentlich logisch weil man immer überall eingeloggt ist wenn man sich bei irgendein Google dienst anmeldet.

  4. @wuyujode
    Ne, bei DropBox muss sich die jeweilige Datei im „Puplic“ Ordner befinden damit sie auch öffentlich im Browser angesehen werden kann.

    Bei GDrive hat man hingegen, so wie ich das verstanden habe, auf das ganze Konto Zugriff.

  5. @wuyujode Nö, überhaupt nicht

  6. Macht dropbox auch und ist auch nichts heimliches:

    https://accounts.google.com/b/0/IssuedAuthSubTokens

  7. Bei Dropbox ist es prinzipiell genau so – aber Dropbox bietet auch keine weiteren Dienste an, d.h. Dropbox bietet online nur das, was eh auf der Festplatte des Rechners ist. Google Drive-Nutzer aber gewähren aus Unwissenheit evtl. Zugriff auf ihr Google-Konto inkl. aller Dienste.

  8. Bitlocker hilft da aber nicht wirklich Caschy:)

  9. Also Google ist Google, ich benutze ein Login für alle Dienste. Von daher nur sinnvoll und logisch das ich mit laufendem und ‚eingeloggtem‘ GoogleDrive auch für die anderen Web-Dienste bereits eingeloggt bin.

  10. Also ich muss ans Logo vom Deutschen Jugendherbergsbund denken =)

  11. @ Marco:

    Ging mir ebenfalls so. Das Logo ist wirklich wenig einfallsreich und extrem leicht mit dem der Deutschen Jugendherberge zu verwechseln.

    Aber irgendwelche Designer werden sich dabei viel gedacht haben, grade wenn es um den Bekanntheit einer Marke gehen soll. Je einfacher ein Logo gestrickt ist, desto besser lässt es sich merken.

  12. Was ich viel verwirrender finde, ist, dass das Rot fehlt.

  13. Bin ich der einzige den das Logo an nichts erinnert sondern genau weiss wo es herkommt? Und zwar vom Promt Translator. Das ist nur ne 180 Grad Drehung von ner 1:1 Kopie entfernt. Und Kurioserweise hat Promt das Logo grade ausgemustert ^^

  14. das ganze ist doch nur dann „gefährlich“ wenn man in GoogleDocs Dokumente hat, die man nicht selber lokal auf der Festplatte hat?

    Und die Verknüpfungen samt Token liegen im eigenen Benutzer Konto. Hat jemand Zugriff aufs Benutzerkonto, dann hat der so auch Zugriff auf google Dienste. Dürfte für die Meisten aber kein Problem sein, zumal viele die ich kenne sowieso PAsswörter speichern oder Dienste wie LastPass nutzen. Da hätte dann auch jeder mit Benutzerkontozugriff Google-Account Zugriff.

  15. Viel schlimmer finde ich, dass man bei google Drive keine anwendungsspezifischen Passwörter angeben kann.
    Jetzt dümpeln Google (MASTER!)-Passwörter irgendwo auf den Rechnern der Drive User rum. Und da interessiert es herzlich wenig ob das irgendwie gehasht ist, sowas geht ja mal garnicht! Soviel zu Googles Sicherheit.

  16. Das PW ist bestimmt nicht lokal im klartext gespeichert!
    Es heraus zu finden ist für normalos nicht möglich und das FBI kann gleich google fragen^^
    Steht doch da keine Panik!

    Immer die Leute die Angst um ihre daten und PWs haben aber bestimmt überall das gleiche PW und daten nix verschlüsselt^^
    BTW vor den nutzen einer Tastatur immer zuerst auf Hardwarekeyloger-Suche gehen.

  17. @ich

    Schwachfug!

    Natürlich ist es gehasht gespeichert, und? Dann logge ich mich eben direkt mit dem Hash in dein Konto ein, drin ist drin.
    Und es geht nicht um Behörden sondern um Leute die – warum auch immer – irgendwie Zugriff auf meinen Rechner erhalten.

    Zum Thema Sicherheit:
    Meine Datenplatten sind mit Truecrypt (3 unterschiedliche Chiffren je 256 Bit) mit einem 25 stelligen PW gesichert (groß, klein, Sonderzeichen – natürlich ohne Muster: Zufallsgeneriert). Grundsätzlich benutze ich für jede Internetseite eigens dafür erstellte, zufallsgeneriere Passwörter die ebenfalls zwischen 20 und 30 Zeichen lang sind (mit einigen Ausnahmen bei Webseiten die solche Passwörter nicht erlauben).
    Diese sind in einem PW Manager (256Bit AES, 10.000 Runden PBKDF2) gesichert an welchen ich mich nur mit einem ebenfalls 20 Zeichen langen Passwort und einem zweiten Faktor anmelden kann (OTP). Zusätzlich ist mein Google Account, als extrem kritische Anwendung, noch mit einem 3ten Faktor gesichert. Weiterhin nutzen alle Anwendungen die darauf zugreifen anwendungsspezifische Passwörter. Besonders kritische Daten lege ich gemäß plausible deniability in zusätzlichen Truecrypt Containern mit anderen Chiffre Paaren (je 256 Bit) und zusätzlichen 25 Zeichen Passwörtern ab.

  18. Check ich nicht. Bei PDFs ist das nicht so. Legt mal ne 5 MB große PDF-Datei da rein, die ist lokal physikalisch und in voller Dateigröße vorhanden. Und nu?

  19. @Gequeoman: Es geht ausschließlich um Google Docs-Dokumente mit der Endung .gdocs. Die kann lokal kein Programm interpretieren, weshalb sie im Browser geöffnet werden.

  20. LOL

    @masi

    Mich würde mal interessieren, was für hoch brisante Daten auf deinem System gespeichert liegen… Urlaubfotos, Bewerbungen und die Spiel Stande von BFBC und Sims?!?! Rofl

    Man kann wirklich: immer alles schwarz sehen und sollte sich lieber mal um diese vielen genialen technischen Neuerungen freuen 😉
    Viele von uns kennen die Anfangszeit ohne Internet, erkläre das mal deinen Kinder 😉

  21. ohaimareiki says:

    @masi na, dir kann bestimmt ein Arzt bei deiner Paranoia helfen… Hyper.

  22. Das Token-Phänomen gibt es auch mit google music…
    Aber wie caschy schon sagte: „wobei ihr eh ganz andere Probleme habt, wenn jemand physikalisch Zugriff auf euren Rechner hat“

  23. @masi: guckstu mal woody’s post weiter oben. hinter dem link wirst du die info finden wie du anwendungsspezifische passwörter vergibst, bevor die welt für dich zusammenbricht. 😉

  24. jayphizzle says:

    Das ganze ist auch bei den Windows Apps Google Music & Gtalk möglich.

    Aber sich bei jedem PC Start bei allen drei Anwendungen per Hand anzumelden ist auch nicht das ware 😉

  25. Headhunter says:

    Das Logo erinnert tatsächlich sehr an die „Komm Schmerz Bank“!

    Seitdem die eine wirklich feine, aber insolvente Bank, die „Dresdner Bank“, geschluckt haben, hat sich aber garnichts an deren miesen Stil geändert.

  26. @Plumbum

    Klar hat man ganz andere Probleme wenn jemand physikalischen Zugriff auf den Rechner hat. Aber das lässt sich heutzutage nunmal nicht 100%ig ausschließen (außer man hängt den Rechner garnicht ans Netz…).
    Deswegen gibt es ja Zwei Faktor Auths! Damit ist es zunächst auch kein Problem wenn jemand auf dem Rechner ist. Zumindest kein so gewaltiges wie ohne zweiten Faktor.

    @ModjoX
    Klar ist das teilweise übertrieben. Ich mag aber die Vorstellung eine gewisse Kontrolle über meine Daten zu haben. Durch das ganze ist für mich eine Art Gewohnheit entstanden wie ich mit meinen Daten umgehe.
    Und auch wenn du es dir nicht vorstellen kannst: es gibt Leute die haben brisantere Daten auf ihrem Rechner als ihre Bewerbungen.

  27. @nikon

    ich weiß schon, wie man anwendungsspezifische Passwörter vergibt. Das Problem ist: Google Drive unterstützt (stand heute) keine anwendungsspezifischen Passwörter. Man erhält eine dicke Fehlermeldung. Es MUSS das Master Passwort angegeben werden, und das geht mal überhaupt nicht.

  28. Ist im Prinzip egal: In 99,99% der Fälle wird das Passwort von der Software gespeichert werden. Selbst wenn das nicht im Klartext geschieht reicht bei GDrive wie bei Dropbox ein Rechtsklick aufs Tray-Icon und dort das öffnen der Webseite – dann wird ebenfalls per Token eingeloggt

  29. Mausefallenreperaturwerkstattkundendienstmitarbeiter says:

    Ich bin eh permanent in Google eingeloggt und mache auch nach PC-Start immer direkt Chrome mit GMail-Tab auf.

    Wer seinen PC mit anderen Leuten teilt oder Ähnliches, darf halt sowas nicht machen.

  30. Das geht auch ohne jegliches Google Doc im Google Drive, ganz allein über das Google Drive Menü, jedenfalls auf dem Mac. Zum Nachexerzieren: im Browser auf irgendeine Google Seite gehen und sich ggf. ausloggen, nur um ganz sicher zu gehen. Browser schließen. Dann im Google Drive Menü den Menüpunkt „Visit your Google Drive on the web“ auswählen. Browser öffnet sich, man ist wieder eingeloggt und kann nach Herzenslust alle Google Services nutzen. Also, beim pinkeln gehen ab jetzt immer schön den Screen locken.

  31. @masi: Ich möchte Dir versichern, dass es eine ganze Menge Leute gibt, die Deine Vorgehensweise für sehr vernünftig halten. In diesem Sinne würde mich die OTP-Lösung bei der Passwort-Speicherung interessieren. Um welches Programm handelt es sich dabei?

  32. Was passiert eigentlich, wenn ich so nen schicken .gdocs-Link als Anhang per Mail verschicke und mir dabei denke, das der Empfänger nur Zugriff auf das Dokument bekommt?

    Sehe ich das richtig, das der Empfänger dann auf meinen kompletten Google-Account zugreifen kann?

  33. @Tim
    Das ist eine verdammt gute Frage.

  34. @Tim, @weissertiger:

    Die Authentifizierung erfolgt über das installierte Google Drive. Wenn Du dort (also auf dem Rechner des Empfängers) nicht mit dem Account eingeloggt bist, dem das Dokument gehört, gibt’s keinen Zugriff darauf.

  35. @Hendryk
    Ah, super. Danke für’s ausprobieren 🙂

  36. Der Zugriff ist physisch, nicht physikalisch – grrrrrr!

  37. @CuBe

    stimmt. genau deswegen wurden ja anwendungsspezifische passwörter eingeführt. denn damit hat meine keine „root“ rechte im google account und kann nur begrenzt darauf zugreifen.

    @Mausefallenreperaturwerkstattkundendienstmitarbeiter
    der unterschied ist: wenn du eingeloggt bist, dann passiert das über einen cookie der eine session speichert. diese verfällt nach einer zeit x oder – je nach setting – wenn man den browser schließt.
    dein passwort ist daraus nicht ersichtlich. zwar kann sich jemand „einloggen“ aber eben nur für eine begrenzte zeit. und für alle extem kritischen änderungen (PW ändern, account löschen) wird ja das passwort benötigt, welches dieser jemand nicht hat.

    zugegeben: es ist ein kinderspiel an das passwort zu kommen wenn man keinen zweiten faktor mit one time pad nutzt.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.