Password Checkup – Google übermittelt doch nicht alles verschlüsselt

Gestern hatten wir über die neue Erweiterung von Google berichtet. Password Checkup überprüft deine Login Dateien automatisch wenn du dich irgendwo einloggst, ob diese kompromittiert sind. Google selber hat beschrieben, dass die Daten verschlüsselt übermittelt werden. Doch ganz so ist es nicht.

Mike Kuketz hat sich die Erweiterung einmal vorgenommen und nachgeprüft was wirklich übermittelt wird. Die wichtigsten Daten wie Benutzername und auch das Passwort werden gehasht und verschlüsselt. Diese Daten werden dann in kodierter Form in der Datenbank überprüft. Soweit so gut. Was aber nicht verschlüsselt wird ist die Domain der Webseite auf der man sich eingeloggt hat.

Dies sieht dann so aus, wie Mike es vorgefunden hat:

:method: POST
:authority: us-central1-password-api-prod.cloudfunctions.net
:scheme: https
:path: /logEvents
content-length: 94
origin: null
user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.67 Safari/537.36
content-type: application/json
accept: */*
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,und;q=0.8

[[[null,"login.web.de",true,[31848.799999999814,637.9999999990687,36732.100000001024]]],[],[]]

Man fragt sich nun, was Google mit der Domain der Webseite anfängt. Denn diese wird nicht anonym übermittelt. Google selber hat es ja so beschrieben: „Password Checkup was built with privacy in mind. It never reports any identifying information about your accounts, passwords, or device. We do report anonymous information about the number of lookups that surface an unsafe credential, whether an alert leads to a password change, and the domain involved for improving site coverage.“

Wichtig ist zwar das der Benutzername und auch das Passwort sicher verschlüsselt sind. Trotzdem hätte Google selber es schon vorab in der Beschreibung offen schreiben können. Denn das was Mike herausgefunden hat macht es dem Nutzer nicht gerade einfach dieser Erweiterung zu vertrauen.

Danke an jacz für den Hinweis

Password Checkup – Google übermittelt doch nicht alles verschlüsselt
Artikel teilen
Über den Autor
ähnliche Artikel
vorheriger Artikel
nächster Artikel

8 Kommentare zu “Password Checkup – Google übermittelt doch nicht alles verschlüsselt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.