Для нормальной работы сайта необходимо разрешить JavaScript, включая скрипты с доменов googlesyndication.com и doubleclick.net для отображения системы поиска по сайту и прочих сервисов Google.

Уязвимость в Google Drive может привести к утечке старых документов

google-drive-logo Грэхем Клули (Graham Cluley), эксперт по безопасности, размышляет о новой бреши в сервисе Google Drive, которую лишь от части компания Google поправила. С его слов, это классический пример того, когда облачные службы становятся новыми угрозами для безопасности данных.

Очевидно, отчего компания Google занижает характер уязвимости, хотя они реально касается только малого количества файлов размещённых в Google Drive. Но главное в том, что данная брешь сервиса облачного хранения данных является концептуальной.

Документы хранятся на публичном хостинге и каждому из них присваивается особый URL. В настройке доступа к каждому документу можно выбрать «Всем в интернете», и в таком случае контент документа будет включен в поисковый индекс Google, который будет доступен всем. Иной вариант доступа к документу — это, «Всем, у кого есть ссылка». Вот тут-то и проявляется уязвимость. В случае когда кто-то из тех, кто имеет ссылку посетит документ и кликнет по ссылке, которая встроена в данный документ, то посторонние смогут выяснить данный URL из логов веб-сервера, где он указывается как referrer.

На первый взор, обстоятельство относительно редкое и казалось бы не такое угрожающее. Хотя, Грэхем Клули приводит в пример реальные сценарии, когда может случиться утечка персональной информации. К примеру, некоторая компания ведёт тайные переговоры о предстоящем поглощении/слиянии иной компании, и отправляет URL со своей презентацией, размещённой на Google Drive, её сотрудникам. В презентации есть гиперссылкы на веб-сайты соперников. И если кто-либо нажимает по этим ссылкам, то соперники также смогут получить доступ к данной презентации, хотя как раз от них-то и планировалось держать переговоры в тайне, - ведь выбирая в настройках доступа «Всем, у кого есть ссылка», собственник документа рассчитывал, что прочесть его смогут лишь те, кому он предоставил сию веб-ссылку.

Для документов, которые сконвертированы в формат Google Docs, и, к которым собственник в перспективе может открыть доступ, Google запретила отправку referrer’ов, но не для старых уже опубликованных документов. Поэтому, старые файлы документов желательно бы удалить с Google Drive и создать новые вместо них.


http://collaboristablog.com/2014/07/google-drive-found-leaking-private-data-warning-shared-links/

Рекомендуемый контент



Добавить комментарий


Защитный код
Обновить

Рейтинг@Mail.ru 2 megabytes