Google Drive gibt Zugriff auf das gesamte Google-Konto
Vorab: keine Panik, alles ist schick, alles ist schön. Dieser Beitrag will weder Panik verbreiten, sondern nur kurz informieren. Stellt euch euren Google Drive und die bei Google Docs online erstellten Dokumente vor. Die werden lokal in der Google Drive-Software, beziehungsweise eurem Explorer angezeigt – aber eigentlich sind es nur Verknüpfungen auf die Dokumente auf Googles Servern.
Das Interessante: bei Ausführung dieser Verknüpfung wird der Browser geöffnet – mit eurem Konto. Vollzugriff auf Dokumente, Mail, Kalender & Co – und das Ganze, ohne dass ihr euren Benutzernamen oder euer Passwort eingegeben habt.
Im ganzen System, im Browser oder sonst wo muss kein Benutzername oder Passwort gespeichert sein – trotz alledem hat derjenige direkten Zugriff auf euer komplettes Google-Konto.
Warum? Das angeklickte Dokument, aka Verknüpfung authentifiziert sich über den eingeloggten Google Drive und gibt diesen Token an den Browser weiter. Solltet ihr vielleicht mal bedenken – wobei ihr eh ganz andere Probleme habt, wenn jemand physikalisch Zugriff auf euren Rechner hat. TrueCrypt, Bitlocker und Co sollen helfen 🙂
@masi na, dir kann bestimmt ein Arzt bei deiner Paranoia helfen… Hyper.
Das Token-Phänomen gibt es auch mit google music…
Aber wie caschy schon sagte: „wobei ihr eh ganz andere Probleme habt, wenn jemand physikalisch Zugriff auf euren Rechner hat“
@masi: guckstu mal woody’s post weiter oben. hinter dem link wirst du die info finden wie du anwendungsspezifische passwörter vergibst, bevor die welt für dich zusammenbricht. 😉
Das ganze ist auch bei den Windows Apps Google Music & Gtalk möglich.
Aber sich bei jedem PC Start bei allen drei Anwendungen per Hand anzumelden ist auch nicht das ware 😉
Das Logo erinnert tatsächlich sehr an die „Komm Schmerz Bank“!
Seitdem die eine wirklich feine, aber insolvente Bank, die „Dresdner Bank“, geschluckt haben, hat sich aber garnichts an deren miesen Stil geändert.
@Plumbum
Klar hat man ganz andere Probleme wenn jemand physikalischen Zugriff auf den Rechner hat. Aber das lässt sich heutzutage nunmal nicht 100%ig ausschließen (außer man hängt den Rechner garnicht ans Netz…).
Deswegen gibt es ja Zwei Faktor Auths! Damit ist es zunächst auch kein Problem wenn jemand auf dem Rechner ist. Zumindest kein so gewaltiges wie ohne zweiten Faktor.
@ModjoX
Klar ist das teilweise übertrieben. Ich mag aber die Vorstellung eine gewisse Kontrolle über meine Daten zu haben. Durch das ganze ist für mich eine Art Gewohnheit entstanden wie ich mit meinen Daten umgehe.
Und auch wenn du es dir nicht vorstellen kannst: es gibt Leute die haben brisantere Daten auf ihrem Rechner als ihre Bewerbungen.
@nikon
ich weiß schon, wie man anwendungsspezifische Passwörter vergibt. Das Problem ist: Google Drive unterstützt (stand heute) keine anwendungsspezifischen Passwörter. Man erhält eine dicke Fehlermeldung. Es MUSS das Master Passwort angegeben werden, und das geht mal überhaupt nicht.
Ist im Prinzip egal: In 99,99% der Fälle wird das Passwort von der Software gespeichert werden. Selbst wenn das nicht im Klartext geschieht reicht bei GDrive wie bei Dropbox ein Rechtsklick aufs Tray-Icon und dort das öffnen der Webseite – dann wird ebenfalls per Token eingeloggt
Ich bin eh permanent in Google eingeloggt und mache auch nach PC-Start immer direkt Chrome mit GMail-Tab auf.
Wer seinen PC mit anderen Leuten teilt oder Ähnliches, darf halt sowas nicht machen.
Das geht auch ohne jegliches Google Doc im Google Drive, ganz allein über das Google Drive Menü, jedenfalls auf dem Mac. Zum Nachexerzieren: im Browser auf irgendeine Google Seite gehen und sich ggf. ausloggen, nur um ganz sicher zu gehen. Browser schließen. Dann im Google Drive Menü den Menüpunkt „Visit your Google Drive on the web“ auswählen. Browser öffnet sich, man ist wieder eingeloggt und kann nach Herzenslust alle Google Services nutzen. Also, beim pinkeln gehen ab jetzt immer schön den Screen locken.
@masi: Ich möchte Dir versichern, dass es eine ganze Menge Leute gibt, die Deine Vorgehensweise für sehr vernünftig halten. In diesem Sinne würde mich die OTP-Lösung bei der Passwort-Speicherung interessieren. Um welches Programm handelt es sich dabei?
Was passiert eigentlich, wenn ich so nen schicken .gdocs-Link als Anhang per Mail verschicke und mir dabei denke, das der Empfänger nur Zugriff auf das Dokument bekommt?
Sehe ich das richtig, das der Empfänger dann auf meinen kompletten Google-Account zugreifen kann?
@Tim
Das ist eine verdammt gute Frage.
@Tim, @weissertiger:
Die Authentifizierung erfolgt über das installierte Google Drive. Wenn Du dort (also auf dem Rechner des Empfängers) nicht mit dem Account eingeloggt bist, dem das Dokument gehört, gibt’s keinen Zugriff darauf.
@Hendryk
Ah, super. Danke für’s ausprobieren 🙂
Der Zugriff ist physisch, nicht physikalisch – grrrrrr!
@CuBe
stimmt. genau deswegen wurden ja anwendungsspezifische passwörter eingeführt. denn damit hat meine keine „root“ rechte im google account und kann nur begrenzt darauf zugreifen.
@Mausefallenreperaturwerkstattkundendienstmitarbeiter
der unterschied ist: wenn du eingeloggt bist, dann passiert das über einen cookie der eine session speichert. diese verfällt nach einer zeit x oder – je nach setting – wenn man den browser schließt.
dein passwort ist daraus nicht ersichtlich. zwar kann sich jemand „einloggen“ aber eben nur für eine begrenzte zeit. und für alle extem kritischen änderungen (PW ändern, account löschen) wird ja das passwort benötigt, welches dieser jemand nicht hat.
zugegeben: es ist ein kinderspiel an das passwort zu kommen wenn man keinen zweiten faktor mit one time pad nutzt.