yuruyuru0255


1: Twilight Sparkle ★ 2014/05/07(水) 07:48:19.49 ID:???0
米Dropboxに、特定の相手にのみ共有したはずの文書やファイルへのリンクがサードパーティーのWebサイトに公開されてしまう
脆弱性が見つかった。Dropboxは5月5日のブログでこの脆弱性に対処したことを明らかにした。

今回の脆弱性は、Webサイトでユーザーがどこから来たのかをチェックする「リファラヘッダ」という標準的な機能に関連する。Dropboxではユーザーが自分のDropbox内のファイルやフォルダへのリンクを特定の相手と共有でき、
リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。

ところが、サードパーティーのWebサイトへのハイパーリンクを含んだ文書へのリンクを共有し、
そのリンクを受け取った相手が文書内のハイパーリンクをクリックすると、
共有されたリンクがリファラヘッダ経由でサードパーティーのWebサイトに公開されていたことが分かった。
ヘッダを参照できるサイト管理者などが、共有された文書へのリンクにアクセスできてしまう状態だったという。

※記事の一部を引用しました。全文及び参考画像等はリンク先の元記事で御覧ください。
ソース:ITmedia エンタープライズ  2014年05月07日 07時14分
http://www.itmedia.co.jp/enterprise/articles/1405/07/news035.html


元スレ:【ネット】 Dropboxの共有リンク、外部のWebサイトへ筒抜け [ITmedia]
http://ai.2ch.net/test/read.cgi/newsplus/1399416499/


2: 名無しさん@13周年  2014/05/07(水) 07:50:45.65 ID:gpn2aHtN0
【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/


3: \(^o^)/  2014/05/07(水) 07:51:24.86 ID:6NP2NBGH0
結局IEのゼロデイ脆弱性もウィンドウズアップデート一発でXPも含めて解決したわけだが


38: 名無しさん@13周年  2014/05/07(水) 13:25:14.12 ID:bZbK5wBp0
>>3
あれは解決してないだろw
「少し安全」になっただけというお粗末さ


4: 名無しさん@13周年  2014/05/07(水) 07:54:44.22 ID:/kz6pvX80
Googleドライブも一緒だろ


5: 名無しさん@13周年  2014/05/07(水) 07:59:38.92 ID:0tzp5HJI0
セッション確認しないんだw


6: 名無しさん@13周年  2014/05/07(水) 08:01:04.82 ID:nEOrb5z+0
べつにいいよ


7: 名無しさん@13周年  2014/05/07(水) 08:01:16.73 ID:FRuGti7n0
httpsでもリファラ送るんだっけ?


23: 名無しさん@13周年  2014/05/07(水) 09:48:00.83 ID:Vg8//xtm0
>>7
https→httpsだとリファラが渡るらしい


39: 名無しさん@13周年  2014/05/07(水) 13:41:16.12 ID:lkFO8liu0
>>23
それは本当か!?(驚愕)


8: 忍法帖【Lv=40,xxxPT】(1+0:5)   2014/05/07(水) 08:02:48.39 ID:FmurViQiO
URLが伝わるだけなんだろ。
しかも共有設定された罠へのリンクの。


9: 名無しさん@13周年  2014/05/07(水) 08:06:12.81 ID:GGg5GInA0
そもそもこういうフリーのクラウドって、USBメモリ代わりに
PCとかスマホ、タブレット複数台持ちのデータ移動につかうもんであって

他人とのファイル共有機能って、
制作側が想定してるほどニーズないと思うんだよなあ


10: 名無しさん@13周年  2014/05/07(水) 08:09:19.12 ID:OgmvZtc50
>>9
それはお前の思い過ごしw


24: 名無しさん@13周年  2014/05/07(水) 10:06:57.76 ID:+oOUp69m0
>>9
おいおいw


29: 名無しさん@13周年  2014/05/07(水) 11:48:34.58 ID:KH09OJbq0
>>9
オレの仕事でいえば今、Dropboxの共有機能がないと成り立たないレベルですわ。
単なるデータのやりとりという使い方も超えて、共有のスケジュール表とか在庫確認表を置く、とかそういう感じの使い方。


41: 名無しさん@13周年  2014/05/07(水) 14:23:18.95 ID:Xk2fQ47+0
>>29
そういう使い方するなら自社専用のシステム作った方がいいよ。
社内の重要データを外部のフリークラウドに置くなんて、公開してるのと同じだよ。


36: 名無しさん@13周年  2014/05/07(水) 12:46:56.12 ID:CZiBtrkA0
>>9
自分は個人で使ってるからそう思うけど会社や仕事で利用してる人はそうはいかない人も居ると思うよ
こういう共有機能はフォルダ毎に設定できるとかファイルに個別に鍵を掛けられるとかそう言う対処が欲しいなあと思ったりします


11: 名無しさん@13周年  2014/05/07(水) 08:20:20.72 ID:tQTFRY1K0
ネカフェ利用してたんだが前の人がログインしたままになってた危険だわ


12: 名無しさん@13周年  2014/05/07(水) 08:32:32.93 ID:g+rrlc1E0
写真の共有とか便利だよね
おじいちゃんおばあちゃんに孫の写真共有するとか


13: 名無しさん@13周年  2014/05/07(水) 08:33:04.46 ID:Qj4oPMHa0
まぁ何かあるだろうって思ってたwww


14: 名無しさん@13周年  2014/05/07(水) 08:39:52.56 ID:98+LfoqB0
まーた個人情報収集企業googleチャマかw


21: 名無しさん@13周年  2014/05/07(水) 09:44:53.13 ID:i7Xuyp2O0
>>14
( ゚Д゚)ハァ?


15: 名無しさん@13周年  2014/05/07(水) 09:04:16.13 ID:DPUTKImj0
これはこういう仕様じゃないの?

>リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。

って書いてあるんだから、場所が分かったら誰でも見られるだろ。


30: 名無しさん@13周年  2014/05/07(水) 12:00:19.48 ID:og2J6FBL0
>>15
例えば、
http://dl.dropbox.com/u/hoge/fuga.pdf
ってファイルを共有して、そのpdf内に
http://www.google.com
のリンクを埋め込んであったら、pdf開いた人がそのリンクをクリックして開くと
リファラとしてgoogleにもそのpdfのアドレスがばれてしまう。


35: 名無しさん@13周年  2014/05/07(水) 12:18:12.64 ID:DPUTKImj0
>>30
ああ、そういうことか。Googleが丁寧にもサーチエンジン登録とかしてくれるのか。


16: 名無しさん@13周年  2014/05/07(水) 09:33:37.62 ID:JlIO6ckk0
知られる前提でネットサービス使ってる人ばかりじゃないんだねwプークスクス


17: 名無しさん@13周年  2014/05/07(水) 09:38:41.27 ID:coUi2Cs10
DropBoxの創業者って最終的に何がしたいの?
MSかgoogleにバイアウト?


19: 名無しさん@13周年  2014/05/07(水) 09:40:06.44 ID:9kZh2s/W0
>>17
情報収集して裏でなんかやってんじゃね?
今度ライスが就任したし


18: 名無しさん@13周年  2014/05/07(水) 09:39:27.59 ID:M6+1GZWY0
わははは
あれ?俺も会員だったorz


20: 名無しさん@13周年  2014/05/07(水) 09:40:58.52 ID:Irc3X2al0
そもそもハイパーリンクってなんだ
リンク先がハイパーなのか?


32: 名無しさん@13周年  2014/05/07(水) 12:04:42.61 ID:xaPdNyNy0
>>20
ハイパーメディアクリエイターぐらいのハイパー度


22: 名無しさん@13周年  2014/05/07(水) 09:46:47.62 ID:f04ee85/0
dropboxに有能な方のライスが就任したから危ない


25: 名無しさん@13周年  2014/05/07(水) 10:31:33.62 ID:HWgKcH+00
クラウドに上げるだけで公開したようなもの!

俺もかつて重要な書類をアップしてたがそれに気付いた
消しても無駄。向こうのサーバーのゴミ箱フォルダにあるだけ


26: 名無しさん@13周年  2014/05/07(水) 10:37:03.58 ID:gtodUv+H0
クラウドとかこういうことがあるからやっぱり信用ならないな
ネットにつながないで保持するのがまだ安全だわ


27: 名無しさん@13周年  2014/05/07(水) 11:06:12.79 ID:23sCd9Q/0
AmazonGlacierなら解凍時間がかかるので、ある意味安心かとw


28: 名無しさん@13周年  2014/05/07(水) 11:38:39.94 ID:AErFpeoe0
まさかフォルダ以外にあるデータをバックグラウンドで送信とか
そこまで外道な事やってないだろうな
LINEの電話番号抜き取りみたいな例があるから信用できん


31: 名無しさん@13周年  2014/05/07(水) 12:01:02.11 ID:QrKQj/5a0
見られて困るようなものを他人に預けるのがアホ


33: 名無しさん@13周年  2014/05/07(水) 12:05:42.98 ID:obenZiMW0
>>31
同意。
こういうサービスを使うってのは見られてもいい前提でしょ。
流出なんていつ起こるか分からんしな。
いちいち大騒ぎすることでもないじゃんと思ってしまうわ。

ちゃんとしたら会社なら専用のサーバソフト買って共有してるでしょ。


34: 名無しさん@13周年  2014/05/07(水) 12:12:14.40 ID:pElhPQjW0
DropBoxは前にも流出かなんかやらかしてなかったか


37: 名無しさん@13周年  2014/05/07(水) 12:57:52.21 ID:HX2fgjf/i
DropboxよりGoogleDriveの方が合っていた
おかげでメール、地図、検索、ファイル共有、モバイル、全てGoogleの奴隷になってしまっているw


40: 名無しさん@13周年  2014/05/07(水) 13:55:01.18 ID:R8mjp3KA0
クラウドは信用ならんな
BitTorrent Sync最高


42: 名無しさん@13周年  2014/05/07(水) 14:32:43.43 ID:4afMMg+70
Dropboxは容量のショボさ故にGoogleに負けるのが目に見えてる


43: 名無しさん@13周年  2014/05/07(水) 14:57:39.59 ID:lkFO8liu0
自動的にアップロードされたファイルが不適切と判断されてアカウントロックされた場合、
GoogleだったらGmailとかも使えなくなるからダメージでかくなるんでは


インターネットのシロサギ達~ネットの嘘と危険から貴方の身を守る方法~