【ネット】 Dropboxの共有リンク、外部のWebサイトへ筒抜け [ITmedia]

米Dropboxに、特定の相手にのみ共有したはずの文書やファイルへのリンクがサードパーティーのWebサイトに公開されてしまう
脆弱性が見つかった。Dropboxは5月5日のブログでこの脆弱性に対処したことを明らかにした。

今回の脆弱性は、Webサイトでユーザーがどこから来たのかをチェックする「リファラヘッダ」という標準的な機能に関連する。Dropboxではユーザーが自分のDropbox内のファイルやフォルダへのリンクを特定の相手と共有でき、
リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。

ところが、サードパーティーのWebサイトへのハイパーリンクを含んだ文書へのリンクを共有し、
そのリンクを受け取った相手が文書内のハイパーリンクをクリックすると、
共有されたリンクがリファラヘッダ経由でサードパーティーのWebサイトに公開されていたことが分かった。
ヘッダを参照できるサイト管理者などが、共有された文書へのリンクにアクセスできてしまう状態だったという。

※記事の一部を引用しました。全文及び参考画像等はリンク先の元記事で御覧ください。
ソース：ITmedia エンタープライズ 　2014年05月07日 07時14分
http://www.itmedia.co.jp/enterprise/articles/1405/07/news035.html

【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

【社会】スマホ標的、不正サイト急増…アプリは200万種
http://ai.2ch.net/test/read.cgi/newsplus/1399353848/

結局IEのゼロデイ脆弱性もウィンドウズアップデート一発でXPも含めて解決したわけだが

Googleドライブも一緒だろ

セッション確認しないんだｗ

べつにいいよ

httpsでもリファラ送るんだっけ？

URLが伝わるだけなんだろ。
しかも共有設定された罠へのリンクの。

そもそもこういうフリーのクラウドって、USBメモリ代わりに
PCとかスマホ、タブレット複数台持ちのデータ移動につかうもんであって

他人とのファイル共有機能って、
制作側が想定してるほどニーズないと思うんだよなあ

>>9
それはお前の思い過ごしｗ

ネカフェ利用してたんだが前の人がログインしたままになってた危険だわ

写真の共有とか便利だよね
おじいちゃんおばあちゃんに孫の写真共有するとか

まぁ何かあるだろうって思ってたｗｗｗ

まーた個人情報収集企業googleチャマかｗ

これはこういう仕様じゃないの？

>リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。

って書いてあるんだから、場所が分かったら誰でも見られるだろ。

知られる前提でネットサービス使ってる人ばかりじゃないんだねwﾌﾟｰｸｽｸｽ

DropBoxの創業者って最終的に何がしたいの？
MSかgoogleにバイアウト？

わははは
あれ？俺も会員だったｏｒｚ

>>17
情報収集して裏でなんかやってんじゃね？
今度ライスが就任したし

そもそもハイパーリンクってなんだ
リンク先がハイパーなのか？

>>14
( ﾟДﾟ)ﾊｧ?

dropboxに有能な方のライスが就任したから危ない

>>7
https→httpsだとリファラが渡るらしい

>>9
おいおいw

クラウドに上げるだけで公開したようなもの！

俺もかつて重要な書類をアップしてたがそれに気付いた
消しても無駄。向こうのサーバーのゴミ箱フォルダにあるだけ

クラウドとかこういうことがあるからやっぱり信用ならないな
ネットにつながないで保持するのがまだ安全だわ

AmazonGlacierなら解凍時間がかかるので、ある意味安心かとw

まさかフォルダ以外にあるデータをバックグラウンドで送信とか
そこまで外道な事やってないだろうな
LINEの電話番号抜き取りみたいな例があるから信用できん

>>9
オレの仕事でいえば今、Dropboxの共有機能がないと成り立たないレベルですわ。
単なるデータのやりとりという使い方も超えて、共有のスケジュール表とか在庫確認表を置く、とかそういう感じの使い方。

>>15
例えば、
http://dl.dropbox.com/u/hoge/fuga.pdf
ってファイルを共有して、そのpdf内に
http://www.google.com
のリンクを埋め込んであったら、pdf開いた人がそのリンクをクリックして開くと
リファラとしてgoogleにもそのpdfのアドレスがばれてしまう。

見られて困るようなものを他人に預けるのがアホ

>>20
ハイパーメディアクリエイターぐらいのハイパー度

>>31
同意。
こういうサービスを使うってのは見られてもいい前提でしょ。
流出なんていつ起こるか分からんしな。
いちいち大騒ぎすることでもないじゃんと思ってしまうわ。

ちゃんとしたら会社なら専用のサーバソフト買って共有してるでしょ。

DropBoxは前にも流出かなんかやらかしてなかったか

>>30
ああ、そういうことか。Googleが丁寧にもサーチエンジン登録とかしてくれるのか。

>>9
自分は個人で使ってるからそう思うけど会社や仕事で利用してる人はそうはいかない人も居ると思うよ
こういう共有機能はフォルダ毎に設定できるとかファイルに個別に鍵を掛けられるとかそう言う対処が欲しいなあと思ったりします

DropboxよりGoogleDriveの方が合っていた
おかげでメール、地図、検索、ファイル共有、モバイル、全てGoogleの奴隷になってしまっているｗ

>>3
あれは解決してないだろw
「少し安全」になっただけというお粗末さ

>>23
それは本当か！？(驚愕)

クラウドは信用ならんな
BitTorrent Sync最高

>>29
そういう使い方するなら自社専用のシステム作った方がいいよ。
社内の重要データを外部のフリークラウドに置くなんて、公開してるのと同じだよ。

Dropboxは容量のショボさ故にGoogleに負けるのが目に見えてる

自動的にアップロードされたファイルが不適切と判断されてアカウントロックされた場合、
GoogleだったらGmailとかも使えなくなるからダメージでかくなるんでは

>>11
そんな時は、お宝画像を一枚プレゼントしてそっとログアウトするんだ

Dropboxはスマホによってはおまけでついてくる。
累積で登録できれば美味しい。

>>36
個人の情報なんて個人の問題なんでどうでも良いが
会社や仕事上の情報ならリスク管理考えれば自社サーバー辺りを立てて専用管理しないと駄目じゃない？

便利だからって無料のとこにするなんて大丈夫かい？
仕事上の情報が流出するなんてなったら会社の信用無くなっちゃうよ。

>>25
上書きは？

スマホとPCなら大丈夫？？？

いずれ公開される情報ばかりだが、逆に共有リンクなんてそんなに使ってない
せいぜいメールで送るのに添付し切れなかった文書をdropbox経由にするだけ
それもいずれ公開する講演資料とかだから何も問題ないし

　
第１８６回国会　予算委員会　第３号
平成二十六年二月六日（木曜日）

○浜田和幸君　そういうサイバーセキュリティーの重要性は、これはもう日本が戦略特区で
新しい成長産業を育てていくためにもやはりしっかりそこを守っておかないと、海外からの
先端研究機関や頭脳はやってこないと思うんですよね。
　そこで、実際、総理にもお伺いしたいんですけれども、
このサイバーセキュリティー攻撃の実態というのはもう大変今深刻な状況になっていると
思います。標準型の攻撃、ＡＰＴ攻撃なんかは、今あるパソコンの内部に
もう出荷する段階から言ってみれば攻撃用のネタというんでしょうか、仕込んでおいて、
そのコンピューターが稼働していない場合も外からその盗聴ができるような、
そういうオフラインでも情報収集ができてしまうような、そういうような
チップ埋め込み型の高度なサイバー攻撃も実際に展開されているわけですね。
　そうしますと、これはアメリカでもかつてウォーターゲート事件がありましたけれども、
これは新しいデータゲート事件に発展するんではないかと。グーグルでも、
フェイスブックでも、マイクロソフト、ヤフー、こういったところがＮＳＡと協力して、
民間の企業から、あるいは個人から情報を入手する、盗聴するということが行われている。
それが例のスノーデン等の内部告発によって明らかになってきているわけですけれども、
そういうサイバー空間を自主防衛を図っていくためには日本独自の自前の国産の
システム開発が欠かせないと思うんですが、総理の第三の矢の中のＩＴ戦略の中に
こういうセキュリティー対策の国産のシステム開発、これはどういう具合に
位置付けられているのか。必要性についてお考えをお聞かせいただければと思います。
　

iPhoneからネット始めました！
ってのが餌食に鳴りそうだな

これジャップが白人様や名誉白人のアメリカ人様にやったら
すごい賠償金請求されて通っちゃうよね