アカウント名:
パスワード:
・パスワード設定もせずに広告へアップロード(依頼)した人がうかつだった。・わざとファイルをダウンロードさせようとしてYDN経由でURLを広めた。
どっちでしょか。
そしてDLされてるファイルはどういうのだろう?
#なんだか謎が多い
ええと、一瞬分かりにくいですが、要は
『広告主』にYDN(Yahoo!)が広告の『掲載先の詳細』を通知するように『仕様変更』した。
ですよね。ネタ元 [gootami.com]にあるとおり、
> ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、> 情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、> さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。
3者の問題が結びついて顕在化したということです。ファイルの内容とかは直接関係ありません。
もっとも広告掲載をしないと無償提供なぞ維持できないわけで、firestorageとしては寝耳に水といったところでしょう。まぁ無料のサービスを使用している時点で……ということです。# 弊社も活用してますね……デザインデータとか
個人的には、秘密URLのページに広告置いちゃったfirestorageの不手際かなぁ。こんな仕組みで安全だと思っちゃうユーザもアホだよなぁ、と思うけど、『URLが暗号化されているので安全です』とか言っておいて、勝手にURLが外部に公開されてるってのはダメすぎだろうと思う。
つーか、仮に広告サービスにそういう機能がなくても、秘密URLに広告とか置くのは、リファラ経由とかでURL漏れそうで気持ち悪さを感じる。
無料なら文句いえないだろうなぁ。秘密URLなら広告消す、ってんならみんな秘密にして収益なくなって事業続かないし。URLにファイルID+ハッシュキーを埋め込んで、ハッシュ側はIDと時間とソルトでハッシュしたもので1時間しか有効にしない、とかである程度防げるかもね。
秘密URLはpostでフォームを送信するだけのページにして自動ポストなどで広告付きの共通URLページに転送するだけで良い。転送して使うなら共通URLじゃなくても、IPやクッキーに紐付けした一時URLでもいい。秘密URLの秘密部分をアンカー名に埋め込んだり(#の後ね)しておいてJavaScriptで取得するのも有りだけど、こっちは広告の埋め込み方やブラウザ次第で漏れる場合がある。
どちらでもないっす。
1、アップローダにあまり他人には乗せたくないデータを載せた人がいる2、アップローダが広告をダウンロードページに入れる。3、YDNのサービスで広告主がどのページ(URL)に広告が置いてあったか知ることができるようになる。4、1~3の組み合わせで広告主(またはYDNのサービスでURLを手に入れた人)が1のデータをダウンロードできるようになる。
とりあえず1はうかつですが、サービスのうたい文句と見合わない状況になっちゃってることも事実ですね。
なるほど、なんとなく流れが分かりました。たまたま三者の行動が組み合わさって結果的に漏れてたというか晒してしまってたんだ。
結果的にはみんなそれぞれうかつだったってことですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
これって (スコア:1)
・パスワード設定もせずに広告へアップロード(依頼)した人がうかつだった。
・わざとファイルをダウンロードさせようとしてYDN経由でURLを広めた。
どっちでしょか。
そしてDLされてるファイルはどういうのだろう?
#なんだか謎が多い
Re:これって (スコア:3, 参考になる)
ええと、一瞬分かりにくいですが、要は
『広告主』にYDN(Yahoo!)が広告の『掲載先の詳細』を通知するように『仕様変更』した。
ですよね。
ネタ元 [gootami.com]にあるとおり、
> ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、
> 情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、
> さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。
3者の問題が結びついて顕在化したということです。
ファイルの内容とかは直接関係ありません。
もっとも広告掲載をしないと無償提供なぞ維持できないわけで、firestorageとしては寝耳に水といったところでしょう。
まぁ無料のサービスを使用している時点で……ということです。
# 弊社も活用してますね……デザインデータとか
Re:これって (スコア:2)
個人的には、
秘密URLのページに広告置いちゃったfirestorageの不手際かなぁ。
こんな仕組みで安全だと思っちゃうユーザもアホだよなぁ、と思うけど、
『URLが暗号化されているので安全です』とか言っておいて、
勝手にURLが外部に公開されてるってのはダメすぎだろうと思う。
つーか、仮に広告サービスにそういう機能がなくても、
秘密URLに広告とか置くのは、リファラ経由とかでURL漏れそうで気持ち悪さを感じる。
Re: (スコア:0)
無料なら文句いえないだろうなぁ。
秘密URLなら広告消す、ってんならみんな秘密にして収益なくなって事業続かないし。
URLにファイルID+ハッシュキーを埋め込んで、ハッシュ側はIDと時間とソルトでハッシュしたもので1時間しか有効にしない、とかである程度防げるかもね。
Re: (スコア:0)
秘密URLはpostでフォームを送信するだけのページにして自動ポストなどで広告付きの共通URLページに転送するだけで良い。
転送して使うなら共通URLじゃなくても、IPやクッキーに紐付けした一時URLでもいい。
秘密URLの秘密部分をアンカー名に埋め込んだり(#の後ね)しておいてJavaScriptで取得するのも有りだけど、こっちは広告の埋め込み方やブラウザ次第で漏れる場合がある。
Re:これって (スコア:2, すばらしい洞察)
どちらでもないっす。
1、アップローダにあまり他人には乗せたくないデータを載せた人がいる
2、アップローダが広告をダウンロードページに入れる。
3、YDNのサービスで広告主がどのページ(URL)に広告が置いてあったか知ることができるようになる。
4、1~3の組み合わせで広告主(またはYDNのサービスでURLを手に入れた人)が1のデータをダウンロードできるようになる。
とりあえず1はうかつですが、サービスのうたい文句と見合わない状況になっちゃってることも事実ですね。
Re:これって (スコア:1)
なるほど、なんとなく流れが分かりました。
たまたま三者の行動が組み合わさって結果的に漏れてたというか晒してしまってたんだ。
結果的にはみんなそれぞれうかつだったってことですね。