Googleドキュメントに新たなセキュリティ・ホール 103
ストーリー by otk
蟻の一穴 部門より
蟻の一穴 部門より
Anonymous Toward および あるAnonymous Coward 曰く、
Googleドキュメントに、また新たなセキュリティ・ホールが発見されたようだ。TechCrunch Japanの記事によると、これはセキュリティー・コンサルタントのAde Barkah氏が指摘しているもので、概要は次のとおり。
- 非公開文書に埋め込まれた画像ファイルは非公開とはならず、URLさえわかれば誰でも閲覧可能(さらに、文書を削除してもその画像はアクセス可能状態のまま残る)
- 先日追加された図形描画機能で作成した図を誰かと共有した場合、共有相手はその図のバージョンをさかのぼって閲覧可能
- 共有相手から誰かを削除した後でも、特定の条件下で、その相手が共有文書に依然としてアクセス可能(深刻な問題なので詳細は非公開)
TechCrunchの問い合わせに対し、Googleの広報担当者は「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」と回答しているとのこと。
関連ストーリーにあるとおり、Googleドキュメントでは今月初旬にも、非公開のドキュメントが共有されてしまうという問題が見つかっている(修正済み)。
関連記事 (スコア:3, 参考になる)
この辺が似てる過去記事ですね。2度ある事は3度あるというかなんというか。
今度はGoogleマップで意図しない個人情報流出騒ぎ [srad.jp]
Googleマイマップを削除しても、残骸が発生して消せなくなる不具合 [srad.jp]
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 [srad.jp]
ちなみにmixiのはその後、TarZさんの日記 [srad.jp]にあるように修正されたらしい。
Re:関連記事 (スコア:5, 参考になる)
http://www.itmedia.co.jp/news/articles/0903/25/news047.html [itmedia.co.jp]
「Googleストリートビューは違法」――英プライバシー保護団体が苦情
---
* 15歳の少年がスケートボードを持っている写真がStreet Viewに掲載された。この少年の両親は
スケートボードの利用を禁止していたため親子げんかになり、少年は現在友人のところにいる
* 既婚男性が同僚の女性と密着して話している様子をGoogleが撮影。道路工事でうるさかったため
密着して話さなければならなかったのだが、浮気しているように見え、夫婦げんかになった
* 暴力的な元夫から逃れるために転居した女性が、Street Viewで自分の居場所がばれる
のではないかと不安を訴えている
* 大会社で働く2人の男性が、キスをしているように見える写真がStreet Viewに載った。
実際はそうではないが、会社中に写真が出回り、彼ら自身もそのパートナー(女性)も恥ずかしい思いをした
---
かなり危なそうです。
LIAR (スコア:2)
あいかわらずGOOGLEは……
利用者に誤解させたり、嘘をついたり、騙くらかしたり、裏でこそこそやるのが『邪悪にならない』ことなのかね?
Re: (スコア:0)
>指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています
なにこれ…
Re:LIAR (スコア:1)
「仕様です」にしてしまえばあら不思議。
Re: (スコア:0)
Re:LIAR (スコア:1, おもしろおかしい)
おーい。「傲慢」があるのに、「無精」と「短気」が抜けておるぞー。
# どっちに入れるのかは知らんが。
gmail (スコア:2, 興味深い)
字合わせて20字のアカウントを2つ作成したの
ですが、どちらにも2週間で2~3通spamメール
が来ました。
(英語で宝くじがあったやらなんたら)
もちろん英数字の羅列なので辞書に載っている
ような単語にはなりません、そしてこのアカウ
ントを作ったことを誰にも伝えてないのです。
どこからこのアドレスが漏れたのか不思議でな
りませんが、これがgoogleクオリティーかと
思っています。
Re:gmail (スコア:2, 興味深い)
1年たった今でも一通すらspamがありません。
一方でユーザ登録に使っている名前をベースにしたメアド(こちらもgmail)は、
英語や日本語で見境なくspamがやってきます。
他に、gmailを取得する前から使ってたメアド(プロバイダ)があるのですが、
6年使ってspamなしだったのに、不景気になったとたん、spam(日本語だけ)が
届くようになりました。(一部上場企業以外に登録したことはないはない)
gmailアカウントの数を考えれば、わずか数例をもって推測することなどできませんが、
私はgoogleクオリティーと別の問題ではないかと思います。
Re:gmail (スコア:1, すばらしい洞察)
その捨てメアドとやらを使わねばならなかった連絡相手を真っ先に疑うべきではないのか。
Re:gmail (スコア:1, 興味深い)
Googleのサービスの中には、アクセスするアドレスの中に、アカウントのメルアドが含まれていることがあります。
公開していれば検索に引っかかってくるし、公開して無くても、アドレスそのものにメルアドが含まれているので、たとえばブクマしちゃうとかすると、botに拾われる可能性があります。
まぁサービスの仕様がなってないのとしかいいようがない。
Google広報担当者の回答 (スコア:1, 参考になる)
一瞬ダメ日本法人の担当者かとオモタ。本社もうんこなのね。
Re:Google広報担当者の回答 (スコア:1)
Re: (スコア:0)
ソフトウェアの脆弱性が見つかったり、顧客情報が漏洩したときに
「本件に起因する実際の被害は確認しておりません」
って言っとけという、決まり文句なんでしょうなあ。
Re: (スコア:0)
広報のあまりの能無しっぷりに笑ってしまった。
こりゃ人員削減を始めるはずだわ。
ずいぶん程度の低いのも混じってきてるみたいだな。
脆弱性と仕様 (スコア:1, 参考になる)
キャラバンで見たこれを思い出した。
http://www.utf-8.jp/public/20090207/h6.html?file=data.txt [utf-8.jp]
* IPA モナーPゴシック, メイリオフォント推奨
よし、決めた (スコア:1)
まず、「ググる」と言うのやめよう。 (スコア:0)
Re:まず、「ググる」と言うのやめよう。 (スコア:2, おもしろおかしい)
というわけで、キーボードのグーグルという文字をセロテープで封印することにします。
Re: (スコア:0)
「ググる」というのがGoogleで検索することなんだから何もおかしくないだろと思うのですが…
Re: (スコア:0)
> もともと特定一社を特別扱いするのはおかしいわけで。
誰に対しておかしいと言っているんですかね。
ある程度市場を占めたものを一般名詞化することは自然なこと。
ホッチキスしかりウォークマンしかり。
仮にどこぞに仕掛けられたものだとしても、定着するということの重みを
否定することはできないでしょう。
Re: (スコア:0)
特別扱いというか、YahooでググれとかLiveでググれとは言わないでしょ。
Yahooでヤフーれとか、Liveでライブれとか。
Re:まず、「ググる」と言うのやめよう。 (スコア:2, すばらしい洞察)
Re:まず、「ググる」と言うのやめよう。 (スコア:1)
> 特別扱いというか、YahooでググれとかLiveでググれとは言わないでしょ。
意外や意外、「ググる」を検索するという意味で使っている人が身近にいます。
部下の会話を聞いて自分なりに解釈して自然に覚えたみたいです。
まるで新生児が言葉を習得するかのようですね。
そういう人は Yahoo でググったりしちゃうかもしれません。
あ、でもその人はサーチエンジンはグーグルしか知らなかったりするので問題ないか。
閾値は 0 で
セキュリティ・ホール (スコア:0)
Re:セキュリティ・ホール (スコア:5, おもしろおかしい)
Re:セキュリティ・ホール (スコア:3, おもしろおかしい)
意外と小さいですね
Re:セキュリティ・ホール (スコア:2, すばらしい洞察)
Re:セキュリティ・ホール (スコア:3, おもしろおかしい)
↑なんてこったい
スペースの代わり (スコア:2, すばらしい洞察)
securityとholeの間のスペースのようなものじゃないですかね?
屍体メモ [windy.cx]
Re:セキュリティ・ホール (スコア:1)
スポンサー・ドリンクとスポンサード・リンクを見分けるのと同じです。外国語をカタカナ表記した際に、元の単語を知っていないとどこで切れるか分からなくなりますので、その対策です。
逆に使うとソレナンテ・エ・ロゲになりますw
Re:セキュリティ・ホール (スコア:1)
ペイパー・ビュー
#まぢで紙芝居と誤認していたがIDで。
なんか違うんだよなぁ (スコア:0)
セキュリティ)*(ホール
Re:なんか違うんだよなぁ (スコア:1, すばらしい洞察)
Re:なんか違うんだよなぁ (スコア:1, おもしろおかしい)
>ホールと言うくらいなので穴がないと……
なるほど。だから「GOOGLE」大きな穴が二つあるのか
Googleもうだめ (スコア:0)
今に始まったことではないが、
> 「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」
こんなこと言ってるようじゃ、もう終わりだな。
セキュリティ上の問題が発見されること自体は、あるていど仕方がないけど。
それとも、先日のXSSの話題にあったように、
セキュリティ問題について日本人は神経質すぎるのか?
Re:Googleもうだめ (スコア:3, すばらしい洞察)
by Google
Re:Googleもうだめ (スコア:3, 興味深い)
Googleは、リンクの張られておらず、推測不能な十分長いURLは、アクセス制限として有効だと考えているようです。
実際、カレンダーには、ログインなしで予定がみれるURLが設定されています。
どういう実装になってるかは知りませんが、わざと応答遅くするなど、
総当たり攻撃対策やっててくれれば、個人的には十分だと思いますが・・・
Re:Googleもうだめ (スコア:2, すばらしい洞察)
>画像は文書を削除しても残る
削除機能が削除の用をなしていないって事ですね。
脆弱性で無いにしても、いつまでもGoogleが意図に反して保持しているという事。
重要な不具合には違いありませんね。
漏れる/悪用される時の状況や経路とシステムの潜在的リスクとは切り離して考えないと、
なんでもかんでも「XSSは本当に危険なのでしょうかキリッ」ってことになっちゃう。
そういう状況が普通の利用ではありえないから、受容できるって苦しい言い訳が通用するのは、
完全に社内インフラで使われるようなツールだから、ネットワーク的に切り離しているため
それが担保になっているとか言える場合においてくらいだろうと。
#外部からネットワークを乗り越えて正規クライアントを自由に出来る状況になってしまえば、
#社内インフラアプリの些細な脆弱性など問題にならない
Re:Googleもうだめ (スコア:2, すばらしい洞察)
Re:Googleもうだめ (スコア:1, すばらしい洞察)
自分が技術的に面白いと思うかどうかだけで物事を考えるフシがある。
技術屋が中心となって作った会社でユーザ本意に動くところなんて僅少だよな。
Re:Googleもうだめ (スコア:1, すばらしい洞察)
> 技術屋が中心となって作った会社でユーザ本意に動くところなんて僅少だよな。
技術屋が中心でない会社だって、「ユーザ本意に動」いたりするわけはない。
Re:Googleもうだめ (スコア:1, 興味深い)
> 日本人は神経質すぎるのか
セキュリティー問題を見つけたAde Barkahも
TechCrunchの記事を書いたRobin Wautersも
多分、日本人ではない。
Re: (スコア:0)
TechCrunch Japanへ翻訳したNamekawa, Uは、日本人かも。
原文は
http://www.techcrunch.com/2009/03/26/more-security-loopholes-found-in-... [techcrunch.com]
Based on the information we've received, we do not believe there are significant security issues with Google Docs
となっていて、「not believe」ということなんで。
Re:Googleもうだめ (スコア:1)
普通の日本人はまだまだリスク・マネジメントについて鈍感だからではないでしょうか。
詰まる所は、セキュリティ確保において心許ない基盤の上のサービスであることを念頭に
リスクを受容して使用するための見極めと対応とをできないので、神経質に穴を塞ごうと
しているように思います。
仮に高額安全なサービスと定額何ありのサービスをグーグルが省内として提供し始めたら、
果たしてどれだけのユーザーが前者を選ばず、後者を無償で改善しろとだけいうか、
国別で見てみたいものです。
Re: (スコア:0)
Re: (スコア:0)
Googleドキュメントじゃないよ、って意味じゃないかと。
Re:ドッグフード喰えや (スコア:1)
きっとやってますよ。
自社資料が入っているサーバは外にさらしていないというだけで。
(社員に駄々漏れじゃないかー)
fjの教祖様
Re:オープンソースにしろ (スコア:1)
ソースを公開しても, はたしてシステムがそのソースと同じかどうかの保証は無いと思うけど.
# というか, そういう事例は枚挙に暇が無い
Re:オープンソースにしろ (スコア:1, 興味深い)
SaaSじゃAGPLにでもしないと実効性がないと思う。まあGoogleはAGPLを恐れていてGoogle Codeでも
同ライセンスを採用したプロジェクトのホスティングを認めていないらしいが。