2ちゃんねる スマホ用 ■掲示板に戻る■ 全部 1- 最新50    

■ このスレッドは過去ログ倉庫に格納されています

【ネット】 Dropboxの共有リンク、外部のWebサイトへ筒抜け [ITmedia]

1 :Twilight Sparkle ★@\(^o^)/:2014/05/07(水) 07:48:19.49 ID:???0.net
米Dropboxに、特定の相手にのみ共有したはずの文書やファイルへのリンクがサードパーティーのWebサイトに公開されてしまう
脆弱性が見つかった。Dropboxは5月5日のブログでこの脆弱性に対処したことを明らかにした。

今回の脆弱性は、Webサイトでユーザーがどこから来たのかをチェックする「リファラヘッダ」という標準的な機能に関連する。Dropboxではユーザーが自分のDropbox内のファイルやフォルダへのリンクを特定の相手と共有でき、
リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。

ところが、サードパーティーのWebサイトへのハイパーリンクを含んだ文書へのリンクを共有し、
そのリンクを受け取った相手が文書内のハイパーリンクをクリックすると、
共有されたリンクがリファラヘッダ経由でサードパーティーのWebサイトに公開されていたことが分かった。
ヘッダを参照できるサイト管理者などが、共有された文書へのリンクにアクセスできてしまう状態だったという。

※記事の一部を引用しました。全文及び参考画像等はリンク先の元記事で御覧ください。
ソース:ITmedia エンタープライズ  2014年05月07日 07時14分
http://www.itmedia.co.jp/enterprise/articles/1405/07/news035.html

2 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 07:50:45.65 ID:gpn2aHtN0.net
【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

3 :\(^o^)/@\(^o^)/:2014/05/07(水) 07:51:24.86 ID:6NP2NBGH0.net
結局IEのゼロデイ脆弱性もウィンドウズアップデート一発でXPも含めて解決したわけだが

4 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 07:54:44.22 ID:/kz6pvX80.net
Googleドライブも一緒だろ

5 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 07:59:38.92 ID:0tzp5HJI0.net
セッション確認しないんだw

6 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:01:04.82 ID:nEOrb5z+0.net
べつにいいよ

7 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:01:16.73 ID:FRuGti7n0.net
httpsでもリファラ送るんだっけ?

8 : 忍法帖【Lv=40,xxxPT】(1+0:5) @\(^o^)/:2014/05/07(水) 08:02:48.39 ID:FmurViQiO.net
URLが伝わるだけなんだろ。
しかも共有設定された罠へのリンクの。

9 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:06:12.81 ID:GGg5GInA0.net
そもそもこういうフリーのクラウドって、USBメモリ代わりに
PCとかスマホ、タブレット複数台持ちのデータ移動につかうもんであって

他人とのファイル共有機能って、
制作側が想定してるほどニーズないと思うんだよなあ

10 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:09:19.12 ID:OgmvZtc50.net
>>9
それはお前の思い過ごしw

11 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:20:20.72 ID:tQTFRY1K0.net
ネカフェ利用してたんだが前の人がログインしたままになってた危険だわ

12 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:32:32.93 ID:g+rrlc1E0.net
写真の共有とか便利だよね
おじいちゃんおばあちゃんに孫の写真共有するとか

13 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:33:04.46 ID:Qj4oPMHa0.net
まぁ何かあるだろうって思ってたwww

14 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 08:39:52.56 ID:98+LfoqB0.net
まーた個人情報収集企業googleチャマかw

15 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:04:16.13 ID:DPUTKImj0.net
これはこういう仕様じゃないの?

>リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。

って書いてあるんだから、場所が分かったら誰でも見られるだろ。

16 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:33:37.62 ID:JlIO6ckk0.net
知られる前提でネットサービス使ってる人ばかりじゃないんだねwプークスクス

17 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:38:41.27 ID:coUi2Cs10.net
DropBoxの創業者って最終的に何がしたいの?
MSかgoogleにバイアウト?

18 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:39:27.59 ID:M6+1GZWY0.net
わははは
あれ?俺も会員だったorz

19 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:40:06.44 ID:9kZh2s/W0.net
>>17
情報収集して裏でなんかやってんじゃね?
今度ライスが就任したし

20 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:40:58.52 ID:Irc3X2al0.net
そもそもハイパーリンクってなんだ
リンク先がハイパーなのか?

21 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:44:53.13 ID:i7Xuyp2O0.net
>>14
( ゚Д゚)ハァ?

22 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:46:47.62 ID:f04ee85/0.net
dropboxに有能な方のライスが就任したから危ない

23 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 09:48:00.83 ID:Vg8//xtm0.net
>>7
https→httpsだとリファラが渡るらしい

24 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 10:06:57.76 ID:+oOUp69m0.net
>>9
おいおいw

25 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 10:31:33.62 ID:HWgKcH+00.net
クラウドに上げるだけで公開したようなもの!

俺もかつて重要な書類をアップしてたがそれに気付いた
消しても無駄。向こうのサーバーのゴミ箱フォルダにあるだけ

26 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 10:37:03.58 ID:gtodUv+H0.net
クラウドとかこういうことがあるからやっぱり信用ならないな
ネットにつながないで保持するのがまだ安全だわ

27 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 11:06:12.79 ID:23sCd9Q/0.net
AmazonGlacierなら解凍時間がかかるので、ある意味安心かとw

28 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 11:38:39.94 ID:AErFpeoe0.net
まさかフォルダ以外にあるデータをバックグラウンドで送信とか
そこまで外道な事やってないだろうな
LINEの電話番号抜き取りみたいな例があるから信用できん

29 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 11:48:34.58 ID:KH09OJbq0.net
>>9
オレの仕事でいえば今、Dropboxの共有機能がないと成り立たないレベルですわ。
単なるデータのやりとりという使い方も超えて、共有のスケジュール表とか在庫確認表を置く、とかそういう感じの使い方。

30 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:00:19.48 ID:og2J6FBL0.net
>>15
例えば、
http://dl.dropbox.com/u/hoge/fuga.pdf
ってファイルを共有して、そのpdf内に
http://www.google.com
のリンクを埋め込んであったら、pdf開いた人がそのリンクをクリックして開くと
リファラとしてgoogleにもそのpdfのアドレスがばれてしまう。

31 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:01:02.11 ID:QrKQj/5a0.net
見られて困るようなものを他人に預けるのがアホ

32 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:04:42.61 ID:xaPdNyNy0.net
>>20
ハイパーメディアクリエイターぐらいのハイパー度

33 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:05:42.98 ID:obenZiMW0.net
>>31
同意。
こういうサービスを使うってのは見られてもいい前提でしょ。
流出なんていつ起こるか分からんしな。
いちいち大騒ぎすることでもないじゃんと思ってしまうわ。

ちゃんとしたら会社なら専用のサーバソフト買って共有してるでしょ。

34 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:12:14.40 ID:pElhPQjW0.net
DropBoxは前にも流出かなんかやらかしてなかったか

35 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:18:12.64 ID:DPUTKImj0.net
>>30
ああ、そういうことか。Googleが丁寧にもサーチエンジン登録とかしてくれるのか。

36 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:46:56.12 ID:CZiBtrkA0.net
>>9
自分は個人で使ってるからそう思うけど会社や仕事で利用してる人はそうはいかない人も居ると思うよ
こういう共有機能はフォルダ毎に設定できるとかファイルに個別に鍵を掛けられるとかそう言う対処が欲しいなあと思ったりします

37 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 12:57:52.21 ID:HX2fgjf/i.net
DropboxよりGoogleDriveの方が合っていた
おかげでメール、地図、検索、ファイル共有、モバイル、全てGoogleの奴隷になってしまっているw

38 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 13:25:14.12 ID:bZbK5wBp0.net
>>3
あれは解決してないだろw
「少し安全」になっただけというお粗末さ

39 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 13:41:16.12 ID:lkFO8liu0.net
>>23
それは本当か!?(驚愕)

40 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 13:55:01.18 ID:R8mjp3KA0.net
クラウドは信用ならんな
BitTorrent Sync最高

41 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 14:23:18.95 ID:Xk2fQ47+0.net
>>29
そういう使い方するなら自社専用のシステム作った方がいいよ。
社内の重要データを外部のフリークラウドに置くなんて、公開してるのと同じだよ。

42 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 14:32:43.43 ID:4afMMg+70.net
Dropboxは容量のショボさ故にGoogleに負けるのが目に見えてる

43 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 14:57:39.59 ID:lkFO8liu0.net
自動的にアップロードされたファイルが不適切と判断されてアカウントロックされた場合、
GoogleだったらGmailとかも使えなくなるからダメージでかくなるんでは

44 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 15:51:54.31 ID:RxZTtJCA0.net
>>11
そんな時は、お宝画像を一枚プレゼントしてそっとログアウトするんだ

45 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 16:55:29.68 ID:SH5ZhAyB0.net
Dropboxはスマホによってはおまけでついてくる。
累積で登録できれば美味しい。

46 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 18:45:44.64 ID:EwzLmh0N0.net
>>36
個人の情報なんて個人の問題なんでどうでも良いが
会社や仕事上の情報ならリスク管理考えれば自社サーバー辺りを立てて専用管理しないと駄目じゃない?

便利だからって無料のとこにするなんて大丈夫かい?
仕事上の情報が流出するなんてなったら会社の信用無くなっちゃうよ。

47 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 19:27:59.29 ID:UGe7ma760.net
>>25
上書きは?

48 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 19:29:27.50 ID:gWuFGmsc0.net
スマホとPCなら大丈夫???

49 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 20:37:04.94 ID:g+rrlc1E0.net
いずれ公開される情報ばかりだが、逆に共有リンクなんてそんなに使ってない
せいぜいメールで送るのに添付し切れなかった文書をdropbox経由にするだけ
それもいずれ公開する講演資料とかだから何も問題ないし

50 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 20:46:48.12 ID:qBMlc/Iz0.net
 
第186回国会 予算委員会 第3号
平成二十六年二月六日(木曜日)

○浜田和幸君 そういうサイバーセキュリティーの重要性は、これはもう日本が戦略特区で
新しい成長産業を育てていくためにもやはりしっかりそこを守っておかないと、海外からの
先端研究機関や頭脳はやってこないと思うんですよね。
 そこで、実際、総理にもお伺いしたいんですけれども、
このサイバーセキュリティー攻撃の実態というのはもう大変今深刻な状況になっていると
思います。標準型の攻撃、APT攻撃なんかは、今あるパソコンの内部に
もう出荷する段階から言ってみれば攻撃用のネタというんでしょうか、仕込んでおいて、
そのコンピューターが稼働していない場合も外からその盗聴ができるような、
そういうオフラインでも情報収集ができてしまうような、そういうような
チップ埋め込み型の高度なサイバー攻撃も実際に展開されているわけですね。
 そうしますと、これはアメリカでもかつてウォーターゲート事件がありましたけれども、
これは新しいデータゲート事件に発展するんではないかと。グーグルでも、
フェイスブックでも、マイクロソフト、ヤフー、こういったところがNSAと協力して、
民間の企業から、あるいは個人から情報を入手する、盗聴するということが行われている。
それが例のスノーデン等の内部告発によって明らかになってきているわけですけれども、
そういうサイバー空間を自主防衛を図っていくためには日本独自の自前の国産の
システム開発が欠かせないと思うんですが、総理の第三の矢の中のIT戦略の中に
こういうセキュリティー対策の国産のシステム開発、これはどういう具合に
位置付けられているのか。必要性についてお考えをお聞かせいただければと思います。
 

51 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 22:22:58.91 ID:gpn2aHtN0.net
iPhoneからネット始めました!
ってのが餌食に鳴りそうだな

52 :名無しさん@13周年@\(^o^)/:2014/05/07(水) 22:43:06.61 ID:ELRXqcWo0.net
これジャップが白人様や名誉白人のアメリカ人様にやったら
すごい賠償金請求されて通っちゃうよね

総レス数 52
14 KB
掲示板に戻る 全部 前100 次100 最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★