谷歌站长工具误激活过期用户账号

谷歌解决了一个影响谷歌网站管理员工具的安全漏洞，该工具允许用户访问他们不应该登录的过时帐户。关于搜索引擎优化(SEO)博客和新闻网站的报道浮出水面。周二晚上，关于这种情况的消息传遍了整个网络。据谷歌称，在周二的几个小时内，有“少量”站长工具账户被之前拥有访问权限的用户错误地重新验证。

谷歌发言人告诉eWEEK:“我们已经取消了这些账户，并正在研究防止这一问题再次发生的方法。”

谷歌没有透露造成这种情况的原因。对于受影响的组织来说，这个问题可能是一个问题，因为它使不应该拥有此服务的人(如前员工)能够访问该帐户。

SEO博客大卫奈洛尔周二写道：“乍一看，我们现在已经重新获得了以前访问的每个旧账户的访问权限，无论是以前的客户还是访问我们的网站进行短期咨询。“同样有趣的是(如果你看有趣的一面)，你可以看到谁赢得了客户，或者你从谁那里赢得了客户。”

奈洛尔观察到，但恶意未授权访问造成的潜在损害将不是一件容易的事情。他补充说：“然而，更严重的是，WMT比以往任何时候都更强大，因此，那些不再有权做出改变的人可能会对网站造成损害，这是一个严重的风险。”“比如拒绝链接列表、取消网址或整个网站的索引、重定向网址、改变地理位置.对整个世界都是痛苦的。”

根据身份和访问管理提供商Symplified的CTO Darren Platt的说法，这一事件凸显了公司在使用云服务时产生的“身份孤岛”的潜在问题。

他说：“这些冗余的用户信息库由用户访问的每个网站维护。”“在企业IT架构中，有时(痛苦地)，我们会了解到冗余数据最终会不同步。在这种情况下，该公司正在谷歌架构中管理其网络主要工具的用户账户——将他们的其他应用程序与安全的集中用户管理流程分开。这里发生的情况是，谷歌决定了给定企业用户的决定，但企业并不了解用户的全部情况。”

然而，普拉特指出，谷歌有明显的方法来避免这个问题。他说：“在这种情况下，如果公司使用SAML(安全断言标记语言)来认证站长工具服务的用户，他们将能够阻止旧的管理帐户重新获得访问权限。”

“使用SAML协议，谷歌会将用户送回雇主进行身份验证。因为公司知道这个用户不再在那里工作，他们将指示谷歌不允许这个人访问，”普拉特说。

他补充说：“目前，随着云/SaaS服务在企业中的爆炸性使用，最大的挑战是提高人们对这些身份和访问管理问题的认识。”“我希望这次事件能迫使公司想办法防止这些问题的发生。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！