구글 페이지 크리에이터 보안홀 경험하기

1 minute read

구글 페이지 크리에이터(GPC)에 구글 프린트와 마찬가지의 보안홀이 발견되어 팔글에서 확인해 보았습니다. 이 보안홀은 한 컴퓨터를 여러명이 사용할 때 브라우져의 캐쉬를 이용해서 계정에 접속할 수 있습니다.

구글의 모든 서비스에 계정 통합을 시키려 하고 있고, 가이아 엔진의 개발도 진행되고 있습니다. 하지만, 베타 서비스 특히 20% 프로젝트에서 나온 결과물들은 아직도 독립적인 인증을 구현하고 있습니다.

일단 GPC에 접속한 후 로그인을 해 보면 다음과 같은 URL을 볼 수 있습니다.

http://pages.google.com/?auth=블라블라블라

이 주소를 기억하고 있다가 로그아웃을 한 후 위의 URL을 강제로 넣으면 로그인이 됩니다.

구글 페이지 크리에이터, 보안홀

다른 계정 접속 시나리오

  1. 이전에 GPC에 접속한 적이 있는 컴퓨터라면 브라우져를 엽니다.
  2. 주소창에 http://pages.google.com/를 넣고 조금 기다립니다.
  3. auth값이 들어간 주소가 셀렉트박스에 나오면 마우스로 클릭합니다.
  4. 로그인 완성

이 시나리오로 타 계정에 접속을 성공한다고 하더라도 구글의 다른 서비스로 계정 연동이 안되기 때문에 지메일이라던지, 개인화페이지에 접속할 수는 없습니다.

이 문제는 구글 프린트에서도 있었던 적이 있습니다.(한국에선 서비스되지 않기 때문에 팔글에서는 다루지 않았습니다.)

Comments