AMP ein Sicherheitsrisiko?

In dem Bestreben, das Internet noch ein bisschen besser und schneller zu machen, hat Google die Accelerated Mobile Pages, besser als AMP bekannt, auf den Weg geschickt. Und das kam auch richtig gut an. Viele Online-Portale und Websites setzen diese Möglichkeit ein, um ihre Inhalte noch schneller auszuliefern und in der mobilen Suche mit einem kleinen Blitz gekennzeichnet zu werden, der auch den User auf die schnellen Ladezeiten hinweist. Doch wo Licht ist, da ist auch immer Schatten.

Im Fall von AMP sorgt der AMP-Cache für Bauchschmerzen. Google möchte damit noch einen Vorteil in der Geschwindigkeit bieten und lädt die Inhalte von Websites in den eigenen Cache, um sie dann von dort wieder auszuliefern. Die Idee dahinter ist gut und hat sicher auch zur guten Verbreitung von AMP beigetragen. Was aber niemand bedacht hatte, war das Sicherheitsrisiko, das damit einhergeht. Böse Jungs erkannten jedoch schnell, dass sich hier mit Phishing eine Menge machen lässt, denn bis vor kurzem gab es so gut wie gar keine Sicherheitsprüfungen.

AMP-Inhalte, die über die Google-Server ausgeliefert wurden, erschienen einfach unter der google.com/amp und alle Tools, die Google selbst als Schutz gegen Phishing, Malware und Co. anbietet, schlugen damit keinen Alarm. Google lieferte also selbst eine sichere URL für Websites, die für User böse Überraschungen beinhalten können. Wie jetzt bekannt wurde, gibt es wohl schon eine Reihe von Phishing-Websites, die genau diesen Vorteil nutzen. Auch Google selbst weiß von diesem Problem und trifft wohl derzeit einige Maßnahmen, um es wieder in den Griff zu bekommen. Details dazu gibt es allerdings nicht.

Bekannt wurde aber, dass Google mit den Herstellern von Browsern zusammenarbeitet, um AMP sicherer zu gestalten. Eine Lösung könnte sein, den Pfad /amp/ von den Whitelists zu nehmen. Damit würden dann auch die Sicherheitstools wieder aktiviert und könnten ihre Arbeit machen. Eine andere Lösung wäre vielleicht, dass die AMP-Inhalte nicht mehr über google.com ausgeliefert werden. Dieser Vorgang könnte ausgelagert werden und somit auch mehr Sicherheit bieten, da google.com bisher einfach zu viel Sicherheit suggeriert und User den Inhalten vollstes Vertrauen schenken, wenn diese unter der Google-Domain ausgeliefert werden.

About