パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

本来は一般に公開されないはずのアップローダのダウンロードURL一覧が漏れる」記事へのコメント

  • ・パスワード設定もせずに広告へアップロード(依頼)した人がうかつだった。
    ・わざとファイルをダウンロードさせようとしてYDN経由でURLを広めた。

    どっちでしょか。

    そしてDLされてるファイルはどういうのだろう?

    #なんだか謎が多い

    • Re:これって (スコア:3, 参考になる)

      by Anonymous Coward on 2014年04月24日 13時41分 (#2588261)

      ええと、一瞬分かりにくいですが、要は

      『広告主』にYDN(Yahoo!)が広告の『掲載先の詳細』を通知するように『仕様変更』した。

      ですよね。
      ネタ元 [gootami.com]にあるとおり、

      > ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、
      > 情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、
      > さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。

      3者の問題が結びついて顕在化したということです。
      ファイルの内容とかは直接関係ありません。

      もっとも広告掲載をしないと無償提供なぞ維持できないわけで、firestorageとしては寝耳に水といったところでしょう。
      まぁ無料のサービスを使用している時点で……ということです。
      # 弊社も活用してますね……デザインデータとか

      親コメント
      • by hahahash (41409) on 2014年04月24日 13時46分 (#2588264) 日記

        個人的には、
        秘密URLのページに広告置いちゃったfirestorageの不手際かなぁ。
        こんな仕組みで安全だと思っちゃうユーザもアホだよなぁ、と思うけど、
        『URLが暗号化されているので安全です』とか言っておいて、
        勝手にURLが外部に公開されてるってのはダメすぎだろうと思う。

        つーか、仮に広告サービスにそういう機能がなくても、
        秘密URLに広告とか置くのは、リファラ経由とかでURL漏れそうで気持ち悪さを感じる。

        親コメント
        • by Anonymous Coward

          無料なら文句いえないだろうなぁ。
          秘密URLなら広告消す、ってんならみんな秘密にして収益なくなって事業続かないし。
          URLにファイルID+ハッシュキーを埋め込んで、ハッシュ側はIDと時間とソルトでハッシュしたもので1時間しか有効にしない、とかである程度防げるかもね。

          • by Anonymous Coward

            秘密URLはpostでフォームを送信するだけのページにして自動ポストなどで広告付きの共通URLページに転送するだけで良い。
            転送して使うなら共通URLじゃなくても、IPやクッキーに紐付けした一時URLでもいい。
            秘密URLの秘密部分をアンカー名に埋め込んだり(#の後ね)しておいてJavaScriptで取得するのも有りだけど、こっちは広告の埋め込み方やブラウザ次第で漏れる場合がある。

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...