Další bezpečnostní problém v cloudu Google Drive je zalepen
Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 14.7.2014
Hodnocení/Hlasovalo: 0/0
Zranitelnost byla Googlem brzy opravena a její využití bylo možné ve značně specifických případech. Není však zanedbatelná - umožňovala přistupovat k dokumentům, ke kterým neměla mít dotyčná strana práva.
Nutné podmínky pro využití zranitelnosti na Google Drive byly následující:
- Soubor uživatele musel být uploadnut na Drive.
- Soubor nesměl být převeden do typů Docs, Sheets nebo Slides - musel být ponechán původní typ.
- Vlastník souboru mu musel nastavit práva na „Anyone with the link“.
- Nakonec musel soubor ještě obsahovat HTTPS odkaz na nějaký web třetí strany.
A právě v tom byl zakopán pes. Pokud totiž byly splněny všechny předchozí podmínky, administrátor webu, na který vedl HTTPS dotaz dostal v hlavičce více informací, než by bylo zdrávo.
Přesněji řečeno - viděl i URL dokumentu v kterém byl umístěn odkaz na jeho web. Díky nastavených právům měl tak se znalostí odkazu možnost dokument prohlížet, i když mu to nepříslušelo.