14:39
10/6/2015

GAPI to biblioteka służąca do uwierzytelniania na kontach Google, która przestała być właśnie wspierana przez Google. W wyniku tego, ci którzy z niej korzystali, a którzy mają niewyłączone wyświetlanie błędów, na swoich serwisach internetowych prezentują następującą linijkę tekstu:


Fatal error: Uncaught exception 'Exception' with message 'GAPI: Failed to authenticate user. Error: "https://developers.google.com/accounts/docs/AuthForInstalledApps "'

…za którą znajdują się login i hasło do konta Google użytkownika.

Na chwilę obecną, wyszukiwarka zaindeksowała prawie 10 000 stron, na których występuje ten problem, z czego ok. 1 tysiąc znajduje się w domenie .pl

z

Właścicielom stron dotkniętych tym problemem sugerujemy zmienić hasło i skonfigurować webserwer/framework tak, aby nie pokazywał logów w treści zwracanych stron WWW.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


21 komentarzy

Dodaj komentarz
  1. Epic fail robisz cache i wlala

    http://webcache.googleusercontent.com/search?q=cache:***

  2. Co ja za proste hasła wyczytuje :D, a myślałem że z hasłami nie jest tak tragicznie…

  3. Przy okazji możemy zobaczyć jak słabe hasła są wykorzystywane w internetach.

    • Dla tej strony jest ciekawe – PiS się nie popisało ;) http://www.blaszczyk.senat.pl (u mnie druga strona w Google) .

    • @matw Nawet byłem, śmiechem i zrobiłem screen’a. Niektóre strony już załatane ale Google kopia pamięta ;)

  4. Próba zalogowania na pierwszym lepszym koncie:

    Niestety, nie możemy w tej chwili przetworzyć Twojego żądania.

    Ze względów bezpieczeństwa Google może odmówić logowania, gdy podejrzewamy, że hasło do konta zostało skradzione. Spróbuj zalogować się na konto na innym komputerze. Jeśli to się nie uda, zresetuj hasło lub dowiedz się więcej.

    • Algorytm, który wykrywa, że nagle użytkownik łączy się z innej klasy adresowej niż zwykle.

    • serio tak się mówi, że “klasy adresowej”?
      bo podejrzewam, że klasa w sensie a b c d jest ta sama

    • Mnie uczyli “zakres”.

  5. https://webcache.googleusercontent.com/search?q=cache:Mjgqx8THV8oJ:rtwt.pl/author/agata/+&cd=31&hl=pl&ct=clnk&gl=ch

    home/meluzo/domains/rtwt.pl/public_html/wp-content/plugins/google-analytics-visits/lib/gapi/gapi.class.php(62): gapi->authenticateUser(‘blog.rtwt@gmail…’, ‘WilgotnaAgatka’) #1 /home/meluzo/domains/rtwt

    :)

    • +1

  6. Ja pierdzielę, ale facepalm. Nie Google, a użytkowników. Raz, bo nie przesiedli się z wycofywanej biblioteki na coś innego, a dwa – hasła. Ja pierdzielę, tyle lat minęło a ludzie nadal ustawiają tak proste hasła. I to jeszcze do takich usług. No pozazdrościć.

    • Fail to jest wlasnie Googla ze do komunikatu bledu dolacza login i haslo :|

      Sporo z tych stron postawiona jest na gotowych CMS-ach z gotowymi pluginami i obslugiwana przez ludzi majacych slabe pojecie o internetach.

    • @grekowski: To nie jest wina Google, oni nie dołączają tego do komunikatu – po prostu ludzie mają nieprawidłowo skonfigurowany serwer który wypluwa stack trace wraz z parametrami metod do przeglądarki.

  7. WKF: To nie biblioteka GAPI przestała być wspierana, a usługa ClientLogin. GAPI wciąż działa z użyciem OAuth 2.0.

  8. Co ciekawe uzywajac:
    site:ie – mamy 0 wynikow
    site:co.uk – mam 17 wynikow
    site:pl mam okolo 40 ale liczba maleje z godziny na godzine

    Google czyci strony czy cache?

  9. Zastanawiam się czy da się ujawnić hasło kogoś kto już poprawił skrypt/konfigurację serwera np. Czy przeszedł by taki manewr, żeby skopiować fragment kodu odpowiedzialny za odwołanie do GAPI na inny serwer z niewyłączoną obsługą błędów i odpalić stronę. Czy to mogło by spowodować ujawnienie hasła?

  10. Zaraz. Czy nie mylimy przypadkiem przyczyny ze skutkiem? Nabijanie się z userow ze maja takie hasła a nie inne? A to, ze jakiś nie powiem kto wali loginem i haslem do wyjatku to jakos umyka zastanowieniu. Troche pokory proszę.

    • Jak ktoś włącza stacktrace do przeglądarki i nie obsługuje błędów to sam sobie winny :D

  11. Naprawione :DD

  12. Nie fajna dziura :D
    Dzięki niej przejąłem jedno konto google bo miało wyjątkowo słabe zabezpieczenia.
    Nie miało podanego nr. telefonu i pomocnicznego emaila.
    Co za strata dla właściciela :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: