web-dev-qa-db-ja.com

Googleドライブの写真のセキュリティと一般公開されているlh * .googleusercontent.com

Googleドライブはこれよりも安全だと思いました。

写真をGoogleドライブにアップロードする場合、その写真が委託されてもかまいません。また、そこで働いている誰かがそれを見ることができると思います。大きな問題ではない。しかし、他の地域では、私の写真は誰かが私のパスワードを取得して私のアカウントにログインしない限り安全だと思います。

トラフィックを検査しているネットワークタブで画像を開いたところ、画像が2番目の場所から取得されていることがわかりました。

https://lh3.googleusercontent.com/zXJGmFXf9unQUTbiHYijvzlD1itVOsfRSKnO2GHc64D1s7HbAUl_T16qfTPiH8vJvjhoKA=w1886-h51

これは、Googleドライブで自分以外と共有されていない画像です。ネットワークトラフィックを検査できるすべてのユーザーが、ログイン認証をバイパスするため、googleusercontentアドレスで画像を傍受できます。

つまり、googleusercontent.comでホストされている非公開ドキュメントの公開バージョンと、drive.google.comでホストされている非公開バージョンがあります。

「共有することを選択しない限り、あなたのファイルは非公開です」と言っていても、Googleドライブは私のデータにとってかなり安全なオプションのように見えません。
ソース: Googleドライブは安全ですか?

私のファイルは、ネットワークトラフィックを検査している誰かからはそれほどプライベートに見えません。

しかし、私は何かを逃しているに違いありません。私は何を理解していませんか? Wiresharkで自分のイメージを公開するアドレスを見つけようとしましたが、詳細に迷いました。 Googleドライブで「プライベート」写真を開くと、ブラウザのネットワークタブで生成されたgoogleusercontentに生成されたリクエストを、ネットワークスヌープはどのように表示しますか?

3
ThisClark

ネットワークトラフィックを検査できるすべてのユーザーが、ログイン認証をバイパスするため、googleusercontentアドレスで画像を傍受できます。

結構です。 HTTPSであるため、使用中の秘密鍵を知っている人(あなたとgoogleのみである必要があります)だけがURL全体を知っています。現在は、ブラウザー履歴攻撃(ブラウザーがそれを難読化するために何もしないため、履歴を見ても誰でもそれを知ることができます)や他のいくつかの危険に対して脆弱ですが、カジュアルな傍観者はすぐには利用できません。

URLを推測することを考えていますか?エントロピーの390ビットを生成するURLには〜70文字が含まれていますが、いくつかの弱点を見つけることができない限り(つまり、本当にランダムでない場合を除いて)、実際に1つの画像でも10億を超えることになるため、それは間違いなく実用的ではないと推測します。長年の試み(何十億もの画像が社内にあると想定)、さらに推測によって特定のユーザーの写真を見つけることは完全に不可能です。

あなたのURLへのアクセスを再作成できませんでした(推測されたURLを使用した場合と同じ404エラーが発生しました)、画像および/またはサムネイル(作成され、そこに配置されたものは何でも)がメモリ内にあるか、同様に短命の状態にあると思われます、おそらく1時間以内に消えてしまいました。

7
Jeff Meden