Google отказалась устранять уязвимость на собственной главной странице

Google отказалась устранять на своей странице входа ошибку, которая позволяет злоумышленникам промышлять фишингом. Эту ошибку в компании вообще не стали считать уязвимостью.
Google отказалась устранять баг на странице входа в учетную запись Google ( https://accounts.google.com/ServiceLogin?service=mail ), связанный с параметром continue. Более того, корпорация заявила, что не считает этот баг уязвимостью, сообщает исследователь по безопасности Айдан Вудс (Aidan Woods), который сообщил компании о найденной ошибке и получил ответ.
Добавление параметра continue в URL сервера Google.com позволяет при правильном введении пароля перенаправить пользователя в тот сервис Google, в который он намеревался войти.
Для того, чтобы избежать фишинговых ссылок, Google ограничила работу параметра continue серверами в домене google.com . Таким образом, редирект может выполниться, например, на drive.google.com или docs.google.com , но не может на example.com .
Айдан Вудс нашел способ, как это ограничение обойти.
#Google #уязвимость #новости #ИТ