谷歌解決了一個影響谷歌網(wǎng)站管理員工具的安全漏洞，該工具允許用戶訪問他們不應(yīng)該登錄的過時帳戶。關(guān)于搜索引擎優(yōu)化(SEO)博客和新聞網(wǎng)站的報道浮出水面。周二晚上，關(guān)于這種情況的消息傳遍了整個網(wǎng)絡(luò)。據(jù)谷歌稱，在周二的幾個小時內(nèi)，有“少量”站長工具賬戶被之前擁有訪問權(quán)限的用戶錯誤地重新驗證。

谷歌發(fā)言人告訴eWEEK:“我們已經(jīng)取消了這些賬戶，并正在研究防止這一問題再次發(fā)生的方法?！?

谷歌沒有透露造成這種情況的原因。對于受影響的組織來說，這個問題可能是一個問題，因為它使不應(yīng)該擁有此服務(wù)的人(如前員工)能夠訪問該帳戶。

SEO博客大衛(wèi)奈洛爾周二寫道：“乍一看，我們現(xiàn)在已經(jīng)重新獲得了以前訪問的每個舊賬戶的訪問權(quán)限，無論是以前的客戶還是訪問我們的網(wǎng)站進行短期咨詢?！巴瑯佑腥さ氖?如果你看有趣的一面)，你可以看到誰贏得了客戶，或者你從誰那里贏得了客戶。”

奈洛爾觀察到，但惡意未授權(quán)訪問造成的潛在損害將不是一件容易的事情。他補充說：“然而，更嚴(yán)重的是，WMT比以往任何時候都更強大，因此，那些不再有權(quán)做出改變的人可能會對網(wǎng)站造成損害，這是一個嚴(yán)重的風(fēng)險?！薄氨热缇芙^鏈接列表、取消網(wǎng)址或整個網(wǎng)站的索引、重定向網(wǎng)址、改變地理位置.對整個世界都是痛苦的。”

根據(jù)身份和訪問管理提供商Symplified的CTO Darren Platt的說法，這一事件凸顯了公司在使用云服務(wù)時產(chǎn)生的“身份孤島”的潛在問題。

他說：“這些冗余的用戶信息庫由用戶訪問的每個網(wǎng)站維護?！薄霸谄髽I(yè)IT架構(gòu)中，有時(痛苦地)，我們會了解到冗余數(shù)據(jù)最終會不同步。在這種情況下，該公司正在谷歌架構(gòu)中管理其網(wǎng)絡(luò)主要工具的用戶賬戶——將他們的其他應(yīng)用程序與安全的集中用戶管理流程分開。這里發(fā)生的情況是，谷歌決定了給定企業(yè)用戶的決定，但企業(yè)并不了解用戶的全部情況。”

然而，普拉特指出，谷歌有明顯的方法來避免這個問題。他說：“在這種情況下，如果公司使用SAML(安全斷言標(biāo)記語言)來認證站長工具服務(wù)的用戶，他們將能夠阻止舊的管理帳戶重新獲得訪問權(quán)限?！?

“使用SAML協(xié)議，谷歌會將用戶送回雇主進行身份驗證。因為公司知道這個用戶不再在那里工作，他們將指示谷歌不允許這個人訪問，”普拉特說。

他補充說：“目前，隨著云/SaaS服務(wù)在企業(yè)中的爆炸性使用，最大的挑戰(zhàn)是提高人們對這些身份和訪問管理問題的認識。”“我希望這次事件能迫使公司想辦法防止這些問題的發(fā)生?！?