本来は一般に公開されないはずのアップローダのダウンロードURL一覧が漏れる
2014年4月24日 13:03
あるAnonymous Coward 曰く、 無料オンラインストレージサービス「firestorage」において、firestorageサイト上の広告枠を販売しているYahoo!ディスプレイアドネットワーク(YDN)の広告掲載レポート経由で一般には公開されていないダウンロードページのURLを知ることができることが話題となっている。
firestorageでは、アップロードしたファイルに対し英数字20桁(厳密には0~fまでの16種類の文字20桁)のID付きURLが振られるのだが、このURLは一般公開されず、アップロードをした人、もしくはその人から教えられた相手にしかそのURLは分からないようになっている。そのため、パスワードなどの対策を行わずとも安心と思っている人も少なくないと思われる。
「firestorageのセキュリティ」ページでは「ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。」とされているが、実際には広告経由でURLを他人が知ることができ、そこからファイルのダウンロードも可能であったとのこと。ちなみにfirestorageではパスワード設定も可能であるようだが、どのくらいの人がパスワードを設定しているのかは不明だ。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
ハリウッドの映画スタジオ、Googleの検索結果から削除リクエストへのリンクを削除するようリクエスト 2013年04月07日
児童ポルノを扱うサイトのURLの掲載は公然陳列 2012年07月13日
「児童ポルノサイト」としてブロックされているサイト、IPアドレス直うちでアクセスできるため規制後も平常運転 2012年06月28日