「ランダムなURLを使っているので安全」とうたうアップローダのURL一覧が漏れる
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
広く使われている無料オンラインストレージサービス「firestorage」において、firestorageサイト上の広告枠を販売しているYahoo!ディスプレイアドネットワーク(YDN)の広告掲載レポート経由で一般には公開されていないダウンロードページのURLを知ることができることが話題となっている。
firestorageでは、アップロードしたファイルに対し英数字20桁(厳密には0~fまでの16種類の文字20桁)のID付きURLが振られるのだが、このURLは一般公開されず、アップロードをした人、もしくはその人から教えられた相手にしかそのURLは分からないようになっている。そのため、パスワードなどの対策を行わずとも安心と思っている人も少なくないと思われる。
「firestorageのセキュリティ」ページでは「ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。」とされているが、実際には広告経由でURLを他人が知ることができ、そこからファイルのダウンロードも可能であったとのこと。ちなみにfirestorageではパスワード設定も可能であるようだが、どのくらいの人がパスワードを設定しているのかは不明だ。
「ランダムなURLを使っているので安全」とうたうアップローダのURL一覧が漏れる More ログイン