19:31
30/6/2014

Google Docs właśnie poinformowało, że do waszych prywatnie udostępnianych zasobów (tzn. tych udostępnianych przez dedykowany link) zajrzeć mogły niepowołane osoby.

Problem dotyczy oryginalnych dokumentów .pdf, .docx, które zostały wgrane do Google Docs i nie zostały skonwertowane do natywnego formatu Docs oraz zawierały w swej treści linki https:// do zewnętrznej domeny. Kliknięcie w taki link mogło ujawnić właścicielowi docelowej strony “tajny” URL do dokumentu poprzez nagłówki połączenia HTTP.

Każdy nowy plik tworzony na Google Docs nie będzie już podatny na ten problem — ale stare dokumenty musicie skasować i wgrać jeszcze raz (lub skorzystać z opcji File -> Make a copy, a następnie ponownie udostępnić linka wybranym osobom).

Mało osób zdaje sobie sprawę, że przed tego typu wyciekami można w większości przeglądarek stosunkowo łatwo zabezpieczyć się poprzez odpowiednie ustawienie wartości metatagu Meta Referrer, który pozwala nadpisać zachowanie przeglądarki tak, aby w żądaniach inicjowanych z danej strony albo w ogóle nie przesyłano nagłowka Referer, albo wysyłano jego wartość ustawioną nie na pełny URL, a jedynie na origin. To jest nota bene, jedna z ciekawostek, jaką przekazujemy na naszych szkoleniach z bezpieczeństwa webaplikacji.

Dropbox miał ten sam problem

Poufne dane, które wyciekły z Dropbox przy pomocy podatności tej samej klasy

Poufne dane, które wyciekły z Dropbox przy pomocy podatności tej samej klasy


Bardzo podobny błąd został niedawno załatany w Dropbox. Tam linki do dokumentów wyciekały poprzez nagłówek Referer, oraz przez głupotę użytkowników, którzy wklejali swój “prywatny” link do dokumentu w pole wyszukiwarki internetowej — co z kolei skutkowało aktywowaniem się reklam AdWords na hasło “dropbox” i — jeśli użytkownik kliknął w taką reklamę — przekazaniem prywatnego adresu URL do reklamodawcy…

Przeczytaj także:

15 komentarzy

Dodaj komentarz
  1. W sumie to już nic mnie już nie zdziwi, każdy wielki zalicza teraz jakieś “przecieki”. Aż strach coś trzymać w chmurze. Pewnie niedługo wszystko na dyskietkach wszystko nosić;-)

    • “Wszystkie wgrywane do internetu materiały (zdjęcia, pliki, e-maile) traktuj jako publicznie dostępne. Dla każdego. Do końca świata.”

    • Nawet dyskietka może być źródłem wycieku poufnych dokumentów: http://www.os2museum.com/wp/?p=2535

  2. Piotrze, czy to znaczy, że nie trzymacie (Ty ani niebezpiecznik) żadnych danych w chmurze?

    • Trzymamy, dlaczego mielibyśmy nie trzymać? Staramy się jednak pamiętać o tym co napisałem powyżej. I co to znaczy “chmura”? ;-)

    • ja tam wrażliwe pliki szyfruje gpg i h*** mi zrobią.
      Poza tym jak bardzo bezpieczne jest trzymanie pliku pod publicznym linkiem z wygenerowanym hashem ? Wystarczy że do pobrania użyjesz akceleratora który zindeksuje link w swojej bazie i po zabezpieczeniach.

  3. No ale poufne dokumenty wgrywać gdziekolwiek poza swoje systemy bez zaszyfrowania to jest jak żądanie ich automatycznego zaindeksowania przez Google, NSA i nie tylko ;-)

    • Fakt. Ja rozumiem, że jak ustawiam jakąś formę upublicznienia (link dla określonej grupy “znajomych”, albo dla posiadających link) jest w jakiejś formie publiczny, o tyle jeśli serwis udostępnia nam przechowywanie pewnych plików prywatnych – powinny one pozostać prywatne.
      Niestety, na przykład jak potrzebuję przenieść jakieś dane między domowym komputerem, a maszyną zdalną z uczelni, muszę skorzystać z jakiegoś serwisu hostingowego pokroju box, dropbox czy google drive. Na szczęście, przeważnie kasuję je po wykorzystaniu, a same dokumenty też nie są jakoś strasznie tajne.

      Tak czy owak, chmury, zwłaszcza w firmie tak znanej jak Google, powinny bardziej “uważać” na bezpieczeństwo swoich danych.

  4. Fajnie wiedzieć, że można z pola referer zrezygnować. Niestety np strona mojego banku z wyłączonym referer przestaje działąć (nie można się zalogować). :)

    • I tu jest właśnie pies pogrzebany. Weryfikacja referera to jeden ze sposobów obrony przez atakami CSRF więc instytucje, którym zależy na bezpieczeństwie czasem wlaśnie tą wartość sprawdzają.
      Do przeglądania internetu referer potrzebny Ci nie jest, ale przelewu bez niego nie wyślesz.

    • Czy oprócz opery 12 (Win) jest jakaś przeglądarka z konfiguracją referer i ciastek per domena?

    • @jakis.internauta:
      Firefox i dodatki – do wyboru do koloru;
      https://addons.mozilla.org/pl/firefox/search/?q=referrer
      https://addons.mozilla.org/pl/firefox/search/?q=cookies

    • firefox 28+:
      network.http.referer.XOriginPolicy: 0=always send, 1=send if base domains match, 2=send if hosts match
      network.http.referer.spoofSource: false=real referer, true=spoof referer (use target URI as referer)
      network.http.referer.trimmingPolicy: 0=send full URI, 1=scheme+host+port+path, 2=scheme+host+port

  5. I tak nic tam nie mam ;]

  6. U hu hu już pewnie NSA przegląda moje zdjęcia z wakacji i sprawozdania z ćwiczeń laboratoryjnych :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.