Blogger: Buggar i automatisk förnyelse av domän

1/11/2009

Följande är från ett automatiskt e-post från Google och inte det första med denna varning jag fått för domäner de senaste veckorna:

"Our records indicate that you've selected to automatically renew domain registration for nyttigmiddag.com each year. However, we were unsuccessful in trying to charge $10 to the default credit card provided in your Google Checkout account."

Jag gick direkt och förnyade den via Google Checkout med länken som kom i samma e-post. Inget problem alls. Den här defekten tycker jag är underlig och farlig. Har man valt att det ska förnyas automatiskt ska man kunna räkna med det om nu pengar finns att dra vilket det uppenbart gjorde eftersom det gick perfekt för mig att göra manuellt:

Och om det nu är något tillfälligt fel med förbindelsen via Google Checkout ska man självklart kunna räkna med att Google försöker göra det flera gånger när man nu valt att förnya automatiskt. Jag har heller aldrig haft något liknande problem någonsin nyligen med kortet.

Vad är orsaken?

Jag spekulerar att Google har gjort en generell ökad säkerhet / antispam lösning där deras plattform i fler fall begär in lösenord för vissa saker i vissa situationer. Där har de kanske missat att hantera detta korrekt för automatisk förnyelse av domän.

D.v.s. något mönster i hur jag använt Google ska då enligt min teori triggat att lösenord ska tas in igen. Här fångas det inte upp att detta inte får ske för automatisk förnyelse av domän. Det vore ju tråkigt att man tappar domänen bara därför att man är på semester? Sådant här måste man kunna lita på.

Fler defekter och säkerhetshål

Det här är inte den första defekten jag upptäckt i funktionerna för att köpa domäner. Du kan köpa en domän, pengarna dras och Google Apps påstår att du äger den utan att det är fallet. Detta kan uppstå om du dröjer för länge med att skriva in ditt lösenord för att bekräfta köpet så att något annan hinner med.

Jag fick förövrigt nu på morgonen för mig att det högst eventuellt kan finnas ett teoretiskt (kanske inte praktiskt genomförbart) angrepp mot verify-v1. Läs där först mitt resonemang kring hur man möjligen genererar strängen: Google verify-v1 för att verifiera webbplatsen. Hinner jag med det idag ska jag ta och verifiera några webbplatser och se om jag kommer ihåg rätt från hur det gick till förra gången. Har jag rätt kanske det går att få kollisioner men kanske inte på något sätt som går att tillämpa praktiskt.

Det skulle ju inte vara det första angreppet som varit möjligt mot verify-v1. Fast inte lika trivialt som det förra utan här ett kryptologiskt angrepp avseende kollisioner.



Domäner Google Google Apps Google Blogger Google Checkout
2 kommentarer
Anonym sa...

Blaha,

Nu kom ett till automatiskt e-post precis lika som det förra. Det trots att jag redan fått ett e-post som bekräftat att jag köpt domänen. Och jag har fått kvitto på det vilket jag verifierat direkt i Google Checkout.

2009-01-11 10:18
Anonym sa...

Eller kanske det är bloggen i sig som via ågot triggar samma filter som kräver in lösenord via någon mellanväg?

Fast då har vi fört tanken långt på rena gissningar om orsaken.

2009-01-11 18:59

Kommentera