Dropboxの共有リンク、外部のWebサイトへ筒抜け

本来は共有相手しかアクセスできないリンクの情報がサードパーティーのWebサイトで参照されかねない問題が起きた。 米Dropboxに、特定の相手にのみ共有したはずの文書やファイルへのリンクがサードパーティーのWebサイトに公開されてしまう脆弱性が見つかった。Dropboxは5月5日のブログでこの脆弱性に対処したことを明らかにした。 今回の脆弱性は、Webサイトでユーザーがどこから来たのかをチェックする「リファラヘッダ」という標準的な機能に関連する。Dropboxではユーザーが自分のDropbox内のファイルやフォルダへのリンクを特定の相手と共有でき、リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。 ところが、サードパーティーのWebサイトへのハイパーリンクを含んだ文書へのリンクを共有し、そのリンクを受け取った相手が文書内のハイパーリンクをクリックすると

[t0mori]

SugarSyncなど、他のサービスでも似たような共有リンクの発行してるけど、どうなんかね……。

[TAKAPPRS]

脆弱性とかって話じゃない。

[operator]

これ当たり前じゃないのか？

[an_old_pencil]

なるほど

[tsupo]

「Webサイトへのハイパーリンクを含んだ文書へのリンクを共有し、そのリンクを受け取った相手が文書内のハイパーリンクをクリックすると、共有されたリンクがリファラヘッダ経由で当該Webサイトに公開される」

[djsouchou]

firestorageよりマシ

[delphinus35]

これはまあ、しょうがない気もする……

[Lian]

ビビらせるなよ / タイトルの付け方が悪い

[at_yasu]

HTMLファイルを見せて、そこのリンクを踏ませたら、リファラーで他の人にも見れちゃうという話

[pmint]

共有リンクは非公開ではなかったはず。意外とこの仕様って知られてないのね。よそに知れて困るなら共有をしなおせばいい。GoogleDriveだと「公開するけど検索不可」というのがあって、Dropboxの共有はこれにあたる。

[silverscythe]

脆弱性っつったらURLわかれば見れること自体が脆弱性で、そこは理解して承知してそのまま使うもんだろ。

[kana321]

本来は共有相手しかアクセスできないリンクの情報がサードパーティーのWebサイトで参照されかねない問題が起きた

[yandod]

オープンデータに貢献してた(違)

[kafuka1106]

ちゃんと考えて使った方がいいことは、言うまでもないのですが…便利さに負けてしまう(>_<)

[gomi53]

リファラか！

[suginoy]

"共有されたリンクがリファラヘッダ経由でサードパーティーのWebサイトに公開されていたことが分かった。ヘッダを参照できるサイト管理者などが、共有された文書へのリンクにアクセスできてしまう状態だった"

[MichaeL]

httpsにすればrefererは送らないはず。

[azumi_s]

ああ、またそういう面倒くさい話を…

[monaken]

すでに対策済みとは言いつつも再発が怖い案件。

[John_Kawanishi]

共有機能は使ってない筈だけど…。Cloudはこういうriskを呑んで使わざる負えないか

[webnetadaro]

【ドロボ寝た】Dropboxの共有リンク、外部のWebサイトへ筒抜け - ITmedia ニュース :

[bathrobe]

リファラーからワンタイムURLが漏れる例

[adliblogger]

ベタすぎる

[Nyoho]

なるほど referer 経由でばれてしまうわけか。それはパスワードなしの秘密のサイトによくあるやつだね。DropboxならHTMLファイルじゃなくてもリンク有文書共有できるもんなあ

[m_shige1979]

共有の設定間違っていたとかじゃないのかな

[tettekete37564]

ありのままポルナレフ何を言っているのか分からねーと思うがXSSやCSRFなってチャチなもんじゃねぇただのリファラーなんだぜ

[inazuma2073]

わかりにくいなあ。リンクをどうやって渡したらダメなんだろう。

[kiria25]

最近この手のニュースが多いなぁ。

[kussun]

限定共有ファイルのリファラ漏れ。既存リンクは一時無効。

[siteworkers]

なるほど