Qual è stata la vulnerabilità della sicurezza dietro Box e Dropbox e quali sono le differenze ora?

Naviga le tue risposte
2

Oggi ho ricevuto una serie di commenti che dicono che i miei collegamenti condivisi sono disabilitati. Mi sono guardato intorno e ho visto una serie di articoli che spiegavano cosa era successo, e Dropbox ha pubblicato una dichiarazione ufficiale

For background, whenever you click on a link in any browser, the site you’re going to learns where you came from by something called a referer header. The referer header was designed to enable websites to better understand traffic sources. This is standard practice implemented across all browsers.

Dropbox users can share links to any file or folder in their Dropbox. Files shared via links are only accessible to people who have the link. However, shared links to documents can be inadvertently disclosed to unintended recipients in the following scenario:

A Dropbox user shares a link to a document that contains a hyperlink to a third-party website.

The user, or an authorized recipient of the link, clicks on a hyperlink in the document.

At that point, the referer header discloses the original shared link to the third-party website.

Someone with access to that header, such as the webmaster of the third-party website, could then access the link to the shared document.

Personalmente, non sono molto chiaro su quale sia la vulnerabilità, dato che sono sempre stato dell'idea che un collegamento condiviso sia fondamentalmente un collegamento pubblico, dal momento che non ho mai specificato che l'OMS possa accedervi. Ad esempio, su Google Drive posso scegliere chi può accedervi, indipendentemente dal fatto che abbiano o meno il collegamento.

Il prossimo paragrafo nella loro dichiarazione dice che hanno corretto la vulnerabilità. Come è stato fatto? Sembra che se qualcuno è riuscito a ottenere il tuo link condiviso, avrà comunque accesso completo ad esso. Almeno, quando ho creato nuovi collegamenti alla mia cartella condivisa, non ho visto nulla di diverso.

    
posta That Umbrella Guy 07.05.2014 - 03:27
fonte

2 risposte

5

L'intestazione referer è un'intestazione di richiesta HTTP che viene inviata dal browser ogni volta che accedi a una pagina diversa - l'URL della pagina che conteneva il link su cui hai fatto clic viene inviato alla nuova pagina all'interno di questa intestazione (anche se si tratta di un dominio diverso).

Il referente non viene inviato se si digita un URL e non viene inviato dalla maggior parte dei browser se la pagina corrente è protetta da TLS ( https:// ).

Questa pagina può essere utilizzata per scoprire se il tuo referente è trapelato, ma questo ovviamente dipenderà da dove ti colleghi ad esso da.

La vulnerabilità di Dropbox è quando un file viene condiviso tramite il Web e viene generato un URL pubblico. Questo URL ha la forma https://www.example.com/s/123456qwerty/file.htm , dove 123456qwerty sembra essere un token generato casualmente.

Normalmente questi link presentano solo un collegamento di download al file, ma puoi modificare l'URL da https://www.dropbox.com/s/... a https://dl.dropbox.com/s/... che diventerà quindi https://dl.dropboxusercontent.com/s/... e presenterebbe il file HTML come servito da questo dominio. Inoltre, il protocollo può essere modificato in http che disabilita la protezione del referente normalmente abilitato utilizzando il protocollo https.

Se condividi questo dl link con qualcuno, e il file HTML contiene collegamenti a terze parti, il referer potrebbe essere inviato a terzi quando si fa clic sui collegamenti, esponendo l'URL della condivisione privata con la terza parte. Potrebbero visualizzare l'intestazione referer nei registri del server o nei rapporti di analisi del sito. Questo ha anche causato un secondo problema quando gli utenti inseriscono i link generati in un motore di ricerca invece della barra degli indirizzi del browser, come quando vengono visualizzati gli annunci PPC segnala all'inserzionista il termine di ricerca che è stato utilizzato, il che risulta essere l'URL "privato" del file.

Non sono sicuro di quale sia la correzione ufficiale, tranne la disattivazione temporanea di alcuni collegamenti condivisi (sebbene non sia stato notificato alcun disabile sul mio account). Rapporti settimanali informatici : -

Dropbox has now disabled access to links that have been previously shared and implemented a patch to prevent shared links from being exposed from now on.

Possibili correzioni a questo problema potrebbero includere:

  • Analisi della pagina per modificare link come http://www.example.com per utilizzare un servizio come link in modo che il link diventi https://href.li/?http://example.com/ (o più probabilmente, l'implementazione di Dropbox di tale servizio). Questo non funzionerà con link più complicati, come quelli generati o reindirizzati da JavaScript.
  • Analisi della pagina per modificare i link per utilizzare il tag noreferrer HTML 5 . Questo non funzionerà con link più complicati, come quelli generati o reindirizzati da JavaScript.
  • Forza HTTPS per tutte le pagine HTML condivise. Questo non funzionerà su tutti i browser.
  • Rendi le pagine HTML scaricabili solo anziché visualizzate in linea - questo potrebbe interrompere alcune impostazioni utente, anche se utilizzano Dropbox come un file server statico piuttosto che una semplice condivisione.
  • Un cookie auth generato quando un link condiviso è seguito dal destinatario originale. Questo imposterà il cookie e quindi reindirizzerà a un nuovo URL. per esempio. https://www.example.com/s/123456qwerty/file.htm imposta il cookie, quindi reindirizza a https://www.example.com/s/auth/zxcvbn76543/file.htm che è accessibile solo se è presente il cookie auth. Ciò renderebbe inutile qualsiasi dato di riferimento trapelato in quanto l'URL può essere utilizzato solo in combinazione con il cookie. Ciò interromperà comunque qualsiasi segnalibro dei collegamenti condivisi, a meno che il collegamento originale non sia stato salvato manualmente.
  • Impostazione di un'intestazione referrer-policy per impedire al referente di essere trapelato in browser supportati .

Potresti testare la correzione finale (qualunque cosa sia) con questo collegamento a un sito da un file HTML Dropbox condiviso, verificando referer e scopri se ottieni lo stesso risultato della versione nascosta . Al momento della scrittura, questi vengono ancora inviati dalla mia pagina HTML condivisa di Dropbox quando vi si accede tramite http.

Aggiornamento

The next paragraph in their statement says that they have patched the vulnerability. How was this done? It looks like if someone managed to get ahold of your shared link, they're still going to have full access to it. At least, when I created new links to my shared folder, I didn't see anything different.

Solo recentemente Dropbox ha aggiunto Password per collegamenti condivisi e Scadenza del collegamento condiviso solo ai loro account Pro.

If you’re a Dropbox Pro or Dropbox for Business user, you can set a password for any shared link that you create. This helps to ensure that only collaborators with the password can access your shared content.

If you’re a Dropbox Pro or Dropbox for Business user, you can set an expiration for any shared link that you create. This enables you to provide temporary access to content that you want to share.

Queste due funzioni aiutano a risolvere la vulnerabilità dei file accessibili a causa di rapporti referer o PPC.

Aggiornamento 2

Come per link :

As of September 1, 2017 public links have been disabled for all users.

    
risposta data 07.05.2014 - 12:03
fonte
2

Il referer è un identificatore passato nell'intestazione HTTP che dice da dove vieni. Ad esempio, se esegui una ricerca nel motore di ricerca, il sito atterrato può determinare da questo campo che sei venuto dal motore di ricerca e non hai digitato direttamente l'URL.

I link condivisi sono appena usciti, ma devi sapere se esistono o indovinarli, ma non c'è nulla che ti impedisca di accedere al link condiviso perché sono progettati per essere aperti. Questa è sicurezza per oscurità e non una vera protezione.

Quindi, quando pubblichi il link sulla pagina, e qualcuno clicca sul link, le informazioni di riferimento possono essere esposte. Non è richiesta la trasmissione delle informazioni di riferimento. L'utilizzo di H TTPS per i link è un metodo per impedire l'invio del referente informazioni, Google fa qualcosa di simile per nascondere specifici dettagli di riferimento per gli utenti registrati. Ci sono anche alcuni HTML5 e altre proposte . È inoltre possibile reindirizzare tutti i collegamenti attraverso un gateway di uscita anziché collegarsi direttamente a una risorsa di terze parti. ad esempio, se il documento contiene un collegamento a http://www.somesite.com , sostituisci il link sottostante con http://www.filesharingsite.com/out.php?site=http%3A%2F%2Fwww.somesite.com , quindi filesharingsite.com esegue un reindirizzamento in modo che le informazioni del referente non puntino più al documento di origine, ma solo alla pagina di uscita. A livello personale, è possibile utilizzare plug-in del browser e proxy della privacy per impedire l'invio di queste informazioni di intestazione.

Non sono un utente Dropbox e non li ho mai visti postare dettagli specifici sui metodi che stanno ancora utilizzando.

A Dropbox user shares a link to a document that contains a hyperlink to a third-party website.

Ciò significa che esiste un collegamento a un documento Dropbox con un collegamento ipertestuale che punta a un altro sito, le informazioni di riferimento non solo indicano "Dropbox" ma un identificatore che potrebbe essere collegato a un ID documento specifico. Se si dispone di registri, è possibile passare attraverso le voci di riferimento e identificare questi ID documento, quindi andare al documento condiviso che è oscurato anziché nascosto.

Puoi saperne di più sulla scoperta dell'attacco nel Il blog di Intralink (la società che ha fatto la recente divulgazione pubblica)

    
risposta data 07.05.2014 - 04:31
fonte

Leggi altre domande sui tag

Server + Certificato client vs Certificato server + Password client Perché è difficile rompere RSA?