Dropbox сливал кому попало секретные URL через referer

Облачное хранилище отчиталось о зализывании пробоины — уязвимость Dropbox заключалась в передаче произвольным сайтам «секретных» URL документов. В одном из вариантов использования Dropbox доступ к файлу получает только тот, кто знает прямую ссылку на нужный файл. Если расшаривался для ограниченного круга лиц документ со ссылками, и по этим ссылкам были клики-переходы — произвольные сайты видели секретные URL в реферах. Таким образом, все кто имеет доступ к статистике сайтов на которые совершались переходы, могли видеть и секретные адреса. Теоретически, больше всего адресов, должно было утечь в популярные системы статистики, например производства Google. В истории интернета уже было несколько скандалов связанных с индексацией поисковиками «секретных» частей сайтов, без злого умысла со стороны поисковиков.

Сейчас Dropbox отключил все старые секретные ссылки, для расшаривания их необходимо пересоздать заново.

Добавить 4 комментария

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    С учётом того, что секретные URL просто оказываются в браузерах, принадлежащих тому же Google, Dropbox, похоже, просто попало за «кому попало», а не «только Google»

  • Ответить

    Не совсем понятно, как новая ссылка будет защищена от того же самого. Как будут отсеиваться боты и реальные люди?

  • Ответить

    Надо полагать теперь при клике на ссылку внутри Dropbox и переходе наружу или вообще не передадут рефер или передадут его без полного URL, а просто «dropbox.com» и всё.

  • Ответить

    Очевидно также, как защищают свои урлы соцсети — ссылки будут подменяться линком на промежуточную страницу «вы покидаете наш сайт» и реферрером на внешнем ресурсе всегда будет именно эта страница.