Další bezpečnostní problém v cloudu Google Drive je zalepen
Autor: Batou | 14.7.2014 |
Zranitelnost byla Googlem brzy opravena a její využití bylo možné ve značně specifických případech. Není však zanedbatelná - umožňovala přistupovat k dokumentům, ke kterým neměla mít dotyčná strana práva.
Nutné podmínky pro využití zranitelnosti na Google Drive byly následující:
- Soubor uživatele musel být uploadnut na Drive.
- Soubor nesměl být převeden do typů Docs, Sheets nebo Slides - musel být ponechán původní typ.
- Vlastník souboru mu musel nastavit práva na „Anyone with the link“.
- Nakonec musel soubor ještě obsahovat HTTPS odkaz na nějaký web třetí strany.
A právě v tom byl zakopán pes. Pokud totiž byly splněny všechny předchozí podmínky, administrátor webu, na který vedl HTTPS dotaz dostal v hlavičce více informací, než by bylo zdrávo.
Přesněji řečeno - viděl i URL dokumentu v kterém byl umístěn odkaz na jeho web. Díky nastavených právům měl tak se znalostí odkazu možnost dokument prohlížet, i když mu to nepříslušelo.
.Přihlášení | ||
| |||
.Infobox Nejnovější:
Články:
BugTrack: HackForum: Další služby: Na SOOM.cz je:
Článků: 991
Komentářů: 14 249 Aktualit: 1 861 Souborů: 151 WebForum: 49 236 Hardware: 38 Diskuze: 20 069 BugTrack: 4 413 Reg. uživatelů: 15 653 A proběhlo:
Zobraz. článků: 16 922 368
Staženo souborů: 1 342 362 Staženo dat: 862 563 MB Přístupy (hits): 189 015 502 | ||
| ||||
| |||
| |||
| |||
| ||||
| ||||
| ||||
| ||||
| ||||||||||||||||||||||||
