Google Xss Bug e Google Redirect Phishing

In un Bugtraq del 4 aprile 2006 su Securityfocus si parla di Google XSS, un bug che proprio Google non dovrebbe permettersi.

Ecco la query:

http://www.google.it/search?hl=ar&q=<script>alert("1")</script>&meta=

Solo Google nella lingua Araba (credo) è affetto da questo bug, Google Italia sembra essere immune, prova da qui.

Un'altro argomento importante che vede Google in primo piano è il problema del Google Redirect, utilizzatissimo dai phisher.

Ho fatto diverse ricerche, questi sembrano essere gli unici redirect possibili tramite l'uso di url?:

http://google.com/url?q=http://www.gianniamato.it

http://www.google.com/url?sa=U&start=4&q=http://www.gianniamato.it

http://google.com/url?sa=p&pref=ig&pval=2&q=http://www.gianniamato.it

Questo, invece, tramite Froogle:

http://froogle.google.com/froogle_url?q=http://www.gianniamato.it

Cliccando in uno di questi link viene automaticamente effettuato il redirect verso il mio sito. I phisher utilizzano i link di redirect per dar fiducia alla vittima, la quale non esiterebbe a cliccare su un link che inizia per www.google.com, mentre la pagina di destinazione può essere facilmente nascosta, codificata, camuffata utilizzando altre tecniche note da tempo.