Google Photo Security di sicurezza e pubblicamente visibile lh * .googleusercontent.com

Naviga le tue risposte
3

Pensavo che Google Drive fosse più sicuro di questo.

Se carico una foto su Google Drive, non mi interessa che sia affidata a loro e presumo anche che qualcuno che ci lavora possa guardarlo. Nessun grosso problema. Tuttavia, per il resto del mondo, presumo che la mia foto sia al sicuro da qualcuno che riceve la mia password e che accede al mio account.

Ho aperto la mia immagine mentre ero nella scheda di rete per controllare il traffico e ho scoperto che l'immagine si estrae da una posizione secondaria:

link

Questa è un'immagine condivisa con nessuno tranne me su Google Drive. Chiunque sia in grado di ispezionare il traffico di rete può intercettare quell'immagine tramite il suo indirizzo googleusercentent perché ignora la mia autorizzazione di accesso.

Quindi, c'è la versione pubblica del documento privato ospitato su googleusercontent.com, e c'è la versione privata ospitata su drive.google.com

Google Drive non sembra nemmeno un'opzione ragionevolmente sicura per i miei dati, anche se affermano che "I tuoi file sono privati a meno che tu non scelga di condividerli."
fonte: Google Drive è sicuro?

I miei file non sembrano privati da qualcuno che controlla il traffico di rete.

Ma mi manca qualcosa. Cosa non sto comprendendo? Ho cercato di trovare quell'indirizzo che espone la mia immagine con Wireshark ma mi sono perso nei dettagli. In che modo una rete snoop visualizza la richiesta generata per googleusercontent come la vedo generata nella mia scheda di rete nel browser quando apro la foto "privata" in Google Drive?

    
posta ThisClark 21.04.2016 - 18:31
fonte

1 risposta

6

Anyone capable of inspecting network traffic can intercept that image by its googleusercontent address as it bypasses my login authority.

Non proprio. Poiché si tratta di HTTPS, solo chi conosce la chiave privata in uso (dovrebbe essere solo tu e google) è a conoscenza dell'intero URL. Ora, è vulnerabile a cose come gli attacchi alla cronologia dei browser (chiunque guarda la tua cronologia può saperlo dal momento che il tuo browser non fa nulla per offuscarla) e alcuni altri pericoli, ma non è prontamente disponibile per un astante occasionale.

Stai pensando di indovinare l'URL? Ci sono ~ 70 caratteri nell'URL che producono 390 bit di entropia, indovinare non è assolutamente pratico a meno che non si riescano a trovare alcuni punti deboli (cioè se non è veramente casuale) altrimenti per trovare anche una sola immagine richiederebbe oltre un miliardo anni di tentativi (supponendo che abbiano miliardi di immagini inhouse) e anche trovare le foto di un particolare utente tramite indovinare è completamente impossibile.

Non ho potuto ricreare l'accesso al tuo URL (ha dato un errore 404 identico all'utilizzo di un URL indovinato), ho il sospetto che l'immagine e / o la miniatura (qualunque cosa sia creata e messa lì) sia in memoria o in qualche modo simile stato di breve durata, probabilmente andato entro un'ora o meno.

    
risposta data 21.04.2016 - 18:38
fonte

Leggi altre domande sui tag

Iniezione di comando OS remoto - test L'ISP del provider VPN è in grado di spiare il traffico?