YDN「広告配信先レポート」が「firestorage.jp」のダウンロードリンク晒して炎上案件か？

これらの「配信先URL」にアクセスしてみると。 ああこれはダメなやつだ。 firestorageユーザーがアップロードしたファイルの「ダウンロードリンク」が、YDNの「広告配信先レポート」でモロバレです。 ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。 いや漏れてるから。 ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。 ダウンロードファイル名から判断する限りではありますが、明らかに社外秘だろ的なものがいくつも含まれており、関係各位の今後の身の処し方が他人事ながら大変心配で

[houyhnhm]

https://www.google.co.jp/search?safe=off&q=site%3Afirestorage.jp%2Fdownload%2F ということですね。おいおいクロールされてんぞ。／URLは番地なので隠せないと思った方が。

[lesamoureuses]

「あなたの広告、このURLのページに表示されたよ。そのページのURLは知る人のみ知る非公開URLなんだけどね」こういう漏れ方するのかー

[cider_kondo]

「この家って玄関に鍵が付いてないよね？」「はい、開けっ放しです。だれも通らないようなややこしい路地の奥だからこれで大丈夫ですよ」

[tpex_ovon]

Web制作会社でよくこういうフリーファイル転送サービス使う所多いけど、なんで自社サーバーにFTPで上げないのかなと思う時がある。

[deep_one]

このURLにはたどり着けないから大丈夫、という発想をする人には常に「それはセキュリティーではない」と注意することにしているが、そういうときに使える良い反面教師だな。

[KoshianX]

URLを知ってる人にしかダウンロード出来ないファイルが広告配信元にバレバレってなあ……

[honeybe]

firestorageってパスワード設定できた気がするのでfirestorageにパスワードなしで置いた人が悪い。に一票。(未読

[urawareds]

こういうの晒して嫌味いう前に、爆速で関係者に教えてあげようよ

[anoncom]

firestorage自体は結局ダウンロードURLが"分かりづらい"だけであって、静的になってしまっているせいで完全秘匿情報ではないんだよね。秘匿性を高めるなら時間やセッションで動的URLになってないと。。。

[ot2sy39]

やっぱ「URLがわからないから安全」じゃないよねぇ。

[babydaemons]

いろいろ凄そうなので、後で読み直す

[a-ki_room]

YDN「広告配信先レポート」が「firestorage.jp」のダウンロードリンク晒して炎上案件か？ @hajimejonoさんから

[shimaguniyamato]

だばばばば

[poipoichang]

んんｗｗｗｗｗ秘密のURLは不正アクセス禁止法の言う「みだりに第三者に知らせてはならないものとされている符号」に当たるのですかなｗｗｗｗ？それとも合法的にDLし放題ですかなｗｗｗｗ？？

[iww]

まだ間に合うかな

[rakka74]

広告配信先レポートが悪いのかfirestorageが悪いのかfirestorageの利用者が悪いのか

[himomen]

あっ　これ怖い　すごい怖い

[naglfar]

配信先URLをそこまで詳しくレポートしてるとは……。

[Nyoho]

あかんやつや

[ardarim]

オンライン広告ほんとロクでもないことしかしないという印象

[yoiIT]

お漏らし

[tatsunop]

機密レベルのものには使ってなかったけど、注意しないとなぁ。改善もして欲しいけど。/ デフォは3日のような。

[myrmecoleon]

ふむ

[kz_s]

秘密のURLでファイルを秘匿転送！とか、その辺のテキトーな無線LANにつないでやってるノマドがいたりしないかね

[shimooka]

『ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。』(ﾉ∀`)ｱﾁｬｰ

[kagakaoru]

firestorageってダウンロードページに広告出るんだ。で広告配信元にはそのURLが見えると。まあ圧縮してパスワードつけとけって話だな。

[Ez-style]

クライアントがやっちゃってるのを見たことある。デフォルトだとURLの有効期限が無期限なんで、これを1週間とかにするだけで違うと思ってたんだけどな。

[yoshi1207]

ブコメの指摘にある「site:firestorage.jp/download/」にさらに拡張子足すとあかん感じが増してやばい／けど、広告主にバレるのは直近のファイルだからダウンロードできる可能性が高いのか。無期限でなければいい（わけないか

[itochan]

いわゆる 強制的ブラウジング 脆弱性というやつ　／　http://firestorage.jp/jpdoc/anser_common.html#q69

[thyself2005]

これって有料サービス（サイト内課金だったかな）だとこんなお粗末な展開にはならんかったのかね？

[miwarin3]

パスワードかけてないんだからそもそも公開情報でしょ？　YDN「広告配信先レポート」が「firestorage.jp」のダウンロードリンク晒して炎上案件か？ @hajimejonoさんから

[raysato]

まず1つ、ゼロデイの脆弱性同様、公開による被害拡大が予想される場合は、先に関係者等の然るべき所に連絡をしましょう。炎上させたいなら別ですがね。これの問題はURL非公開なので安心という点につきます。

[yuyans]

無料のツールはこういうのがあるから怖いよね。

[eternal-shining]

マジか。信じられん自体が。。。ソッコー利用停止した方がいい。

[verda]

Oh...

[m-kawato]

秘密のURLによる保護なんて前世紀に滅びたかと思ってた

[nulltask]

これはやばすぎる。

[theblackcoffee]

これは酷すぎる。

[hobbiel55]

パスワードかかってないんだから不正アクセス防止法には触れないよね?

[lli]

危ないデータは上げてないけどヤバイのには変わらない。