L'intestazione referer
è un'intestazione di richiesta HTTP che viene inviata dal browser ogni volta che accedi a una pagina diversa - l'URL della pagina che conteneva il link su cui hai fatto clic viene inviato alla nuova pagina all'interno di questa intestazione (anche se si tratta di un dominio diverso).
Il referente non viene inviato se si digita un URL e non viene inviato dalla maggior parte dei browser se la pagina corrente è protetta da TLS ( https://
).
Questa pagina può essere utilizzata per scoprire se il tuo referente è trapelato, ma questo ovviamente dipenderà da dove ti colleghi ad esso da.
La vulnerabilità di Dropbox è quando un file viene condiviso tramite il Web e viene generato un URL pubblico. Questo URL ha la forma https://www.example.com/s/123456qwerty/file.htm
, dove 123456qwerty
sembra essere un token generato casualmente.
Normalmente questi link presentano solo un collegamento di download al file, ma puoi modificare l'URL da https://www.dropbox.com/s/...
a https://dl.dropbox.com/s/...
che diventerà quindi https://dl.dropboxusercontent.com/s/...
e presenterebbe il file HTML come servito da questo dominio. Inoltre, il protocollo può essere modificato in http
che disabilita la protezione del referente normalmente abilitato utilizzando il protocollo https.
Se condividi questo dl
link con qualcuno, e il file HTML contiene collegamenti a terze parti, il referer
potrebbe essere inviato a terzi quando si fa clic sui collegamenti, esponendo l'URL della condivisione privata con la terza parte. Potrebbero visualizzare l'intestazione referer
nei registri del server o nei rapporti di analisi del sito. Questo ha anche causato un secondo problema quando gli utenti inseriscono i link generati in un motore di ricerca invece della barra degli indirizzi del browser, come quando vengono visualizzati gli annunci PPC segnala all'inserzionista il termine di ricerca che è stato utilizzato, il che risulta essere l'URL "privato" del file.
Non sono sicuro di quale sia la correzione ufficiale, tranne la disattivazione temporanea di alcuni collegamenti condivisi (sebbene non sia stato notificato alcun disabile sul mio account). Rapporti settimanali informatici : -
Dropbox has now disabled access to links that have been previously shared and implemented a patch to prevent shared links from being exposed from now on.
Possibili correzioni a questo problema potrebbero includere:
- Analisi della pagina per modificare link come
http://www.example.com
per utilizzare un servizio come link in modo che il link diventi https://href.li/?http://example.com/
(o più probabilmente, l'implementazione di Dropbox di tale servizio). Questo non funzionerà con link più complicati, come quelli generati o reindirizzati da JavaScript.
- Analisi della pagina per modificare i link per utilizzare il tag noreferrer HTML 5 . Questo non funzionerà con link più complicati, come quelli generati o reindirizzati da JavaScript.
- Forza HTTPS per tutte le pagine HTML condivise. Questo non funzionerà su tutti i browser.
- Rendi le pagine HTML scaricabili solo anziché visualizzate in linea - questo potrebbe interrompere alcune impostazioni utente, anche se utilizzano Dropbox come un file server statico piuttosto che una semplice condivisione.
- Un cookie auth generato quando un link condiviso è seguito dal destinatario originale. Questo imposterà il cookie e quindi reindirizzerà a un nuovo URL. per esempio.
https://www.example.com/s/123456qwerty/file.htm
imposta il cookie, quindi reindirizza a https://www.example.com/s/auth/zxcvbn76543/file.htm
che è accessibile solo se è presente il cookie auth. Ciò renderebbe inutile qualsiasi dato di riferimento trapelato in quanto l'URL può essere utilizzato solo in combinazione con il cookie. Ciò interromperà comunque qualsiasi segnalibro dei collegamenti condivisi, a meno che il collegamento originale non sia stato salvato manualmente.
- Impostazione di un'intestazione
referrer-policy
per impedire al referente di essere trapelato in browser supportati .
Potresti testare la correzione finale (qualunque cosa sia) con questo collegamento a un sito da un file HTML Dropbox condiviso, verificando referer
e scopri se ottieni lo stesso risultato della versione nascosta . Al momento della scrittura, questi vengono ancora inviati dalla mia pagina HTML condivisa di Dropbox quando vi si accede tramite http.
Aggiornamento
The next paragraph in their statement says that they have patched the vulnerability. How was this done? It looks like if someone managed to get ahold of your shared link, they're still going to have full access to it. At least, when I created new links to my shared folder, I didn't see anything different.
Solo recentemente Dropbox ha aggiunto Password per collegamenti condivisi e Scadenza del collegamento condiviso solo ai loro account Pro.
If you’re a Dropbox Pro or Dropbox for Business user, you can set a password for any shared link that you create. This helps to ensure that only collaborators with the password can access your shared content.
If you’re a Dropbox Pro or Dropbox for Business user, you can set an expiration for any shared link that you create. This enables you to provide temporary access to content that you want to share.
Queste due funzioni aiutano a risolvere la vulnerabilità dei file accessibili a causa di rapporti referer
o PPC.
Aggiornamento 2
Come per link :
As of September 1, 2017 public links have been disabled for all users.