アカウント名:
パスワード:
・パスワード設定もせずに広告へアップロード(依頼)した人がうかつだった。・わざとファイルをダウンロードさせようとしてYDN経由でURLを広めた。
どっちでしょか。
そしてDLされてるファイルはどういうのだろう?
#なんだか謎が多い
ええと、一瞬分かりにくいですが、要は
『広告主』にYDN(Yahoo!)が広告の『掲載先の詳細』を通知するように『仕様変更』した。
ですよね。ネタ元 [gootami.com]にあるとおり、
> ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、> 情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、> さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。
3者の問題が結びついて顕在化したということです。ファイルの内容とかは直接関係ありません。
もっとも広告掲載をしないと無償提供なぞ維持できないわけで、firestorageとしては寝耳に水といったところでしょう。まぁ無料のサービスを使用している時点で……ということです。# 弊社も活用してますね……デザインデータとか
個人的には、秘密URLのページに広告置いちゃったfirestorageの不手際かなぁ。こんな仕組みで安全だと思っちゃうユーザもアホだよなぁ、と思うけど、『URLが暗号化されているので安全です』とか言っておいて、勝手にURLが外部に公開されてるってのはダメすぎだろうと思う。
つーか、仮に広告サービスにそういう機能がなくても、秘密URLに広告とか置くのは、リファラ経由とかでURL漏れそうで気持ち悪さを感じる。
無料なら文句いえないだろうなぁ。秘密URLなら広告消す、ってんならみんな秘密にして収益なくなって事業続かないし。URLにファイルID+ハッシュキーを埋め込んで、ハッシュ側はIDと時間とソルトでハッシュしたもので1時間しか有効にしない、とかである程度防げるかもね。
秘密URLはpostでフォームを送信するだけのページにして自動ポストなどで広告付きの共通URLページに転送するだけで良い。転送して使うなら共通URLじゃなくても、IPやクッキーに紐付けした一時URLでもいい。秘密URLの秘密部分をアンカー名に埋め込んだり(#の後ね)しておいてJavaScriptで取得するのも有りだけど、こっちは広告の埋め込み方やブラウザ次第で漏れる場合がある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
これって (スコア:1)
・パスワード設定もせずに広告へアップロード(依頼)した人がうかつだった。
・わざとファイルをダウンロードさせようとしてYDN経由でURLを広めた。
どっちでしょか。
そしてDLされてるファイルはどういうのだろう?
#なんだか謎が多い
Re:これって (スコア:3, 参考になる)
ええと、一瞬分かりにくいですが、要は
『広告主』にYDN(Yahoo!)が広告の『掲載先の詳細』を通知するように『仕様変更』した。
ですよね。
ネタ元 [gootami.com]にあるとおり、
> ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、
> 情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、
> さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。
3者の問題が結びついて顕在化したということです。
ファイルの内容とかは直接関係ありません。
もっとも広告掲載をしないと無償提供なぞ維持できないわけで、firestorageとしては寝耳に水といったところでしょう。
まぁ無料のサービスを使用している時点で……ということです。
# 弊社も活用してますね……デザインデータとか
Re:これって (スコア:2)
個人的には、
秘密URLのページに広告置いちゃったfirestorageの不手際かなぁ。
こんな仕組みで安全だと思っちゃうユーザもアホだよなぁ、と思うけど、
『URLが暗号化されているので安全です』とか言っておいて、
勝手にURLが外部に公開されてるってのはダメすぎだろうと思う。
つーか、仮に広告サービスにそういう機能がなくても、
秘密URLに広告とか置くのは、リファラ経由とかでURL漏れそうで気持ち悪さを感じる。
Re: (スコア:0)
無料なら文句いえないだろうなぁ。
秘密URLなら広告消す、ってんならみんな秘密にして収益なくなって事業続かないし。
URLにファイルID+ハッシュキーを埋め込んで、ハッシュ側はIDと時間とソルトでハッシュしたもので1時間しか有効にしない、とかである程度防げるかもね。
Re: (スコア:0)
秘密URLはpostでフォームを送信するだけのページにして自動ポストなどで広告付きの共通URLページに転送するだけで良い。
転送して使うなら共通URLじゃなくても、IPやクッキーに紐付けした一時URLでもいい。
秘密URLの秘密部分をアンカー名に埋め込んだり(#の後ね)しておいてJavaScriptで取得するのも有りだけど、こっちは広告の埋め込み方やブラウザ次第で漏れる場合がある。