Dropbox сливал кому попало секретные URL через referer

Облачное хранилище отчиталось о зализывании пробоины — уязвимость Dropbox заключалась в передаче произвольным сайтам "секретных" URL документов. В одном из вариантов использования Dropbox доступ к файлу получает только тот, кто знает прямую ссылку на нужный файл. Если расшаривался для ограниченного круга лиц документ со ссылками, и по этим ссылкам были клики-переходы — произвольные сайты видели секретные URL в реферах. Таким образом, все кто имеет доступ к статистике сайтов на которые совершались переходы, могли видеть и секретные адреса. Теоретически, больше всего адресов, должно было утечь в популярные системы статистики, например производства Google. В истории интернета уже было несколько скандалов связанных с индексацией поисковиками "секретных" частей сайтов, без злого умысла со стороны поисковиков.

Сейчас Dropbox отключил все старые секретные ссылки, для расшаривания их необходимо пересоздать заново.

Цифра дня: Сколько ссылок удалил Google по запросам европейцев о "праве на забвение"? Турция заблокировала доступ к Twitter В соцсети «Вконтакте» появился официальный аккаунт Google Google накрыла волна запросов на удаление ссылок на пиратский контент. Ежеминутно компания получает 1500 таких требований. Что делать, если Googlebot не может получить доступ к сайту? В числе тройки популярных вредоносов, атакующих бизнес, — червь для Windows XP Роскомнадзор внес в черный список 46 тысяч ссылок на сайты Forget.me поможет вам быть забытыми онлайн Entensys обеспечила безопасный интернет-доступ для «Республиканской детской больницы» Коми Чтобы скачать видео с сайта YouTube, вставьте «ss» в URL между &quo...