Beiträge von jo-so

  • Werden alle 2FA-Secrets zu Google übermittelt?

    Hi,


    ich wollte eben die 2FA aktivieren und habe dabei gemerkt, dass der QR-Code nicht angezeigt wird. Als ich dann das Bild in einem getrennten Tab aufgerufen habe, habe ich gesehen, dass die URL https://chart.googleapis.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth%3A%2F%2Ftotp%2FCCP%3A58368%3Fsecret%3DNW76GSUQQ334PHCR lautet. In der URL steht ja das Secret für die 2FA drin und als normaler Query-Parameter landet das dann bei Google in den Logs.


    Also bei mir wird der Abruf auch blockiert, sonst wäre mir das wahrscheinlich überhaupt nicht aufgefallen. Aber so allgemein erscheint mir das nicht als sinnvoll, diese Daten an Google zu übermitteln – ein Schelm, der jetzt denkt, die haben diesen Dienst eingerichtet, um Daten abzufischen und otpauth://totp ist nun nicht, was man nicht aus Log rausgreppen könnte.