本来は一般に公開されないはずのアップローダのダウンロードURL一覧が漏れる 20
ストーリー by hylom
パスワードはかけましょう 部門より
パスワードはかけましょう 部門より
あるAnonymous Coward 曰く、
無料オンラインストレージサービス「firestorage」において、firestorageサイト上の広告枠を販売しているYahoo!ディスプレイアドネットワーク(YDN)の広告掲載レポート経由で一般には公開されていないダウンロードページのURLを知ることができることが話題となっている。
firestorageでは、アップロードしたファイルに対し英数字20桁(厳密には0~fまでの16種類の文字20桁)のID付きURLが振られるのだが、このURLは一般公開されず、アップロードをした人、もしくはその人から教えられた相手にしかそのURLは分からないようになっている。そのため、パスワードなどの対策を行わずとも安心と思っている人も少なくないと思われる。
「firestorageのセキュリティ」ページでは「ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。」とされているが、実際には広告経由でURLを他人が知ることができ、そこからファイルのダウンロードも可能であったとのこと。ちなみにfirestorageではパスワード設定も可能であるようだが、どのくらいの人がパスワードを設定しているのかは不明だ。
URL = パスワード (スコア:2)
URLが漏れる = パスワードが漏れる
Re: (スコア:0)
よし、自動ログインのために、URLにIDとPASS入れたものをブックマークしてもらおう!
とか、ありになっちゃう。
Re: (スコア:0)
BASIC認証?
Re: (スコア:0)
いや、本気のウェブサービスのアカウントのIDとPASSだと思う。
ttp://www.example.com/login?id=1234&password=mypass
をブックマークしてね!みたいな。
# 自動ログインにこんなことしてはいけません
これって (スコア:1)
・パスワード設定もせずに広告へアップロード(依頼)した人がうかつだった。
・わざとファイルをダウンロードさせようとしてYDN経由でURLを広めた。
どっちでしょか。
そしてDLされてるファイルはどういうのだろう?
#なんだか謎が多い
Re:これって (スコア:3, 参考になる)
ええと、一瞬分かりにくいですが、要は
『広告主』にYDN(Yahoo!)が広告の『掲載先の詳細』を通知するように『仕様変更』した。
ですよね。
ネタ元 [gootami.com]にあるとおり、
> ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、
> 情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、
> さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。
3者の問題が結びついて顕在化したということです。
ファイルの内容とかは直接関係ありません。
もっとも広告掲載をしないと無償提供なぞ維持できないわけで、firestorageとしては寝耳に水といったところでしょう。
まぁ無料のサービスを使用している時点で……ということです。
# 弊社も活用してますね……デザインデータとか
Re:これって (スコア:2)
個人的には、
秘密URLのページに広告置いちゃったfirestorageの不手際かなぁ。
こんな仕組みで安全だと思っちゃうユーザもアホだよなぁ、と思うけど、
『URLが暗号化されているので安全です』とか言っておいて、
勝手にURLが外部に公開されてるってのはダメすぎだろうと思う。
つーか、仮に広告サービスにそういう機能がなくても、
秘密URLに広告とか置くのは、リファラ経由とかでURL漏れそうで気持ち悪さを感じる。
Re: (スコア:0)
無料なら文句いえないだろうなぁ。
秘密URLなら広告消す、ってんならみんな秘密にして収益なくなって事業続かないし。
URLにファイルID+ハッシュキーを埋め込んで、ハッシュ側はIDと時間とソルトでハッシュしたもので1時間しか有効にしない、とかである程度防げるかもね。
Re: (スコア:0)
秘密URLはpostでフォームを送信するだけのページにして自動ポストなどで広告付きの共通URLページに転送するだけで良い。
転送して使うなら共通URLじゃなくても、IPやクッキーに紐付けした一時URLでもいい。
秘密URLの秘密部分をアンカー名に埋め込んだり(#の後ね)しておいてJavaScriptで取得するのも有りだけど、こっちは広告の埋め込み方やブラウザ次第で漏れる場合がある。
Re:これって (スコア:2, すばらしい洞察)
どちらでもないっす。
1、アップローダにあまり他人には乗せたくないデータを載せた人がいる
2、アップローダが広告をダウンロードページに入れる。
3、YDNのサービスで広告主がどのページ(URL)に広告が置いてあったか知ることができるようになる。
4、1~3の組み合わせで広告主(またはYDNのサービスでURLを手に入れた人)が1のデータをダウンロードできるようになる。
とりあえず1はうかつですが、サービスのうたい文句と見合わない状況になっちゃってることも事実ですね。
Re:これって (スコア:1)
なるほど、なんとなく流れが分かりました。
たまたま三者の行動が組み合わさって結果的に漏れてたというか晒してしまってたんだ。
結果的にはみんなそれぞれうかつだったってことですね。
URLの秘匿に依存することがそもそもの間違い (スコア:1)
URLが何かの拍子に漏洩するなんて昔から何度も問題になったことで、
基本的に秘匿さるべきものと認識されない存在であるURLを秘匿することに
情報の秘匿性を依存するというのが、根本的な間違い。
使えるのは、サインアップの確認のようにアクセスが有効なのが一回限りの使い方ぐらいでしょう。
Re: (スコア:0)
まあそうなんですけど、最近この手の仕組み多いんですよね。
OneDriveとかDropBoxとかも、公開フォルダにURL知ってる人だけアクセス可、みたいなシステムがあったりします。
脆弱だなとは思ってたんですが、そういうちゃんと研究してるはずの大手まで各社やっちゃってるのは、なんか理由があるんでしょうか?
Re:URLの秘匿に依存することがそもそもの間違い (スコア:1)
利便性とセキュリティの釣り合いでは?
「一部の知り合いにだけダウンロードURLを公開したい、けどいちいち認証なんぞさせたくない」 → 分かりにくくて推測されないURLならいいだろう
脆弱だろうがなんだろうが、便利である事のほうが優先される場合もある訳で、そういうものだと割り切ってるんでしょう。
Re: (スコア:0)
>分かりにくくて推測されないURLならいいだろう
dropboxのURLですが…
https://dl.dropboxusercontent.com/u/0123456789/hoge/hoge.txt [dropboxusercontent.com]
といった形式になっており、ユーザーごとに割り振られるID(0123456789)の推測は容易ではありませんが
その後に続くファイルパスはdropboxでのファイルパスそのままなので、容易に推測可能です。
Re:URLの秘匿に依存することがそもそもの間違い (スコア:2)
Dropboxでは、Public フォルダとそれ以外で異なっています。(そもそも、用途が違うので。)
Public フォルダ (デフォルトで共有される):
URLは、/u/ユーザID/パス の形式。推測が容易
public_html のような使い方が想定されている。
それ以外のフォルダ (デフォルトでは共有されない):
URLは、/s/ランダム文字列/パス の形式。推測は困難
共有するためには、明示的に「Dropboxリンクを共有」が必要 (右クリックから)
管理画面の「リンク」から一覧表示・リンクの削除 (共有の終了) が可能
なお、ユーザIDは公開情報に近いので、知られて当然の情報だと考えた方が良いです。(一度でも Public 以下のファイルを共有すればバレてしまうので。)
HIRATA Yasuyuki
Re: (スコア:0)
hoge/hoge.txtは容易に推測可能なんですかね…
// ディレクトリを参照すればファイル一覧がとれるってのならあれですが。
Re: (スコア:0)
それって昔の一般公開用のやつだったかじゃなかったっけ?
今はランダム文字列で、しかも生成毎に変わった気がする。
Re: (スコア:0)
googleカレンダーも、限定公開 URLとかいってアドレスばれたら予定公開。
URL変更はできるけど、アクセスされたのかどうかわからないし、限定公開禁止できない。
まあ、適当にやってもURL当らないとおもうけどね
オンライン版三店方式 (スコア:0)
人生は偶然の連続。誰も悪く無いんだよ。
という事で。