Nieuws
image

Dropbox dicht referer-lek bij gedeelde links

dinsdag 6 mei 2014, 12:29 door Redactie, 6 reacties

Dropbox heeft een lek in gedeelde links gedicht waardoor derden zonder autorisatie toch toegang tot bestanden op Dropbox konden krijgen. Dropbox geeft gebruikers de mogelijkheid om bestanden met anderen te delen. Het uitwisselen van links naar deze bestanden kon echter voor problemen zorgen.

Bijvoorbeeld als een gebruiker een document op Dropbox deelde dat een link naar een website bevatte. Zodra een Dropbox-gebruiker op de link in het document klikte, werd de website in kwestie geopend, maar werd ook de locatie van het bestand zichtbaar voor de website. Zodra internetgebruikers in hun browser op een link klikken zorgt de 'referer header' ervoor dat de nieuw geopende website de locatie ziet waarvandaan de bezoeker precies afkomstig is.

Deze informatie helpt websites om bezoekersstromen beter in kaart te brengen. In het geval van Dropbox veroorzaakte dit een beveiligingsrisico, omdat serverbeheerders of webmasters in hun logs de referer headers kunnen zien, en zo de link naar Dropbox-bestanden kunnen achterhalen. Vervolgens zouden ze deze bestanden kunnen benaderen.

Als oplossing heeft Dropbox nu alle eerder gedeelde links naar dit soort documenten uitgeschakeld. Er wordt aan een oplossing gewerkt zodat deze links straks weer op een veilige manier kunnen worden gebruikt, maar in de tussentijd hebben Dropbox-gebruikers de mogelijkheid om zelf nieuwe links te genereren die de locatie niet via de referer header zullen lekken.

Reacties (6)
06-05-2014, 13:12 door Korund
Kennelijk was het dropbox-bestand al te vinden en te openen als je over de juiste url beschikt. Dat is een typisch gevalletje "security by obscurity". Dit is geen geheimhouden, dit is verstoppen.
06-05-2014, 14:13 door Anoniem
Het lek zelf is dus helemaal niet gedicht? OK.

De andere kant van het verhaal gaat luidt dat het misschien helemaal niet zo handig is om documenten waar 'autorisatie' (lees: 'de juiste link') voor nodig is, in een cloud te zetten zonder encryptie. Buiten dat, de cloud-beheerder kan altijd meekijken, en daar kom je als gebruiker nooit achter. Hetzelfde geldt voor social media, webmail en al die andere leuke toepassingen.
06-05-2014, 14:23 door Orion84
Door Carborundum: Kennelijk was het dropbox-bestand al te vinden en te openen als je over de juiste url beschikt. Dat is een typisch gevalletje "security by obscurity". Dit is geen geheimhouden, dit is verstoppen.
Mijn dropbox bestanden zijn ook te vinden als je over mijn gebruikersnaam en wachtwoord beschikt. Is dat dan ook security by obscurity?

Als je "over de juiste url beschikt" betekent het dat je zowel de bestandsnaam, als een random code van 15 letters en cijfers hebt weten te achterhalen. Dat is dus niet wezenlijk anders dan gewoon een gebruikersnaam en wachtwoord login. Waarbij de gemiddelde gebruikersnaam waarschijnlijk makkelijker te raden is en de meeste wachtwoorden ook geen 15 random tekens zijn.
06-05-2014, 14:45 door Anoniem
Door Orion84:
Door Carborundum: Kennelijk was het dropbox-bestand al te vinden en te openen als je over de juiste url beschikt. Dat is een typisch gevalletje "security by obscurity". Dit is geen geheimhouden, dit is verstoppen.
Mijn dropbox bestanden zijn ook te vinden als je over mijn gebruikersnaam en wachtwoord beschikt. Is dat dan ook security by obscurity?

Als je "over de juiste url beschikt" betekent het dat je zowel de bestandsnaam, als een random code van 15 letters en cijfers hebt weten te achterhalen. Dat is dus niet wezenlijk anders dan gewoon een gebruikersnaam en wachtwoord login. Waarbij de gemiddelde gebruikersnaam waarschijnlijk makkelijker te raden is en de meeste wachtwoorden ook geen 15 random tekens zijn.
Daarnaast is het idee van bestanden delen vanaf Dropbox, dat je de bestanden publiek maakt, omdat je ook bestanden kan delen met iemand die zelf niet over Dropbox beschikt.

Het feit dat je "als je over de juiste URL beschikt" bij het bestand kan komen is niet de issue hier, de issue is dat de pagina/het document zelf zijn URL rond liep te schreeuwen.
07-05-2014, 09:25 door Anoniem
Door Anoniem:De andere kant van het verhaal gaat luidt dat het misschien helemaal niet zo handig is om documenten waar 'autorisatie' (lees: 'de juiste link') voor nodig is, in een cloud te zetten zonder encryptie. Buiten dat, de cloud-beheerder kan altijd meekijken, en daar kom je als gebruiker nooit achter. Hetzelfde geldt voor social media, webmail en al die andere leuke toepassingen.

Denk jij nu echt dat een cloudbeheerder tijd heeft om jouw bestanden te gaan zitten bekijken? Ik weet niet hoe het zit bij Dropbox, maar de meeste beheerders bij cloud providers hebben het druk genoeg met andere zaken. Ik heb er minder vertrouwen in dat een beheerder binnen de eigen organisatie in mijn documenten of mail zit te snuffelen. Of dat hij iemand van het management, in strijd met de regels. toegang regelt. Ik hoor dat hier (>3000 medewerkers) toch ieder jaar wel een keertje. Het gebeurt gelukkig wel steeds vaker dat een beheerder zijn voet stijf houdt en geen toegang regelt.

Sommige beheerders vinden het een sport om te zien welke films en foto's collega's op hun prive schijf hebben staan.

Peter
07-05-2014, 11:19 door Anoniem
Door Anoniem:
Door Anoniem:De andere kant van het verhaal gaat luidt dat het misschien helemaal niet zo handig is om documenten waar 'autorisatie' (lees: 'de juiste link') voor nodig is, in een cloud te zetten zonder encryptie. Buiten dat, de cloud-beheerder kan altijd meekijken, en daar kom je als gebruiker nooit achter. Hetzelfde geldt voor social media, webmail en al die andere leuke toepassingen.

Denk jij nu echt dat een cloudbeheerder tijd heeft om jouw bestanden te gaan zitten bekijken? Ik weet niet hoe het zit bij Dropbox, maar de meeste beheerders bij cloud providers hebben het druk genoeg met andere zaken. Ik heb er minder vertrouwen in dat een beheerder binnen de eigen organisatie in mijn documenten of mail zit te snuffelen. Of dat hij iemand van het management, in strijd met de regels. toegang regelt. Ik hoor dat hier (>3000 medewerkers) toch ieder jaar wel een keertje. Het gebeurt gelukkig wel steeds vaker dat een beheerder zijn voet stijf houdt en geen toegang regelt.

Sommige beheerders vinden het een sport om te zien welke films en foto's collega's op hun prive schijf hebben staan.

Peter
Hoe naïef kun je zijn? Jij denkt dat cloud-beheerders geen interesse hebben in de inhoud van de documenten die geplaatst zijn in hun gratis aangeboden dienst? Als een dienst gratis is.
Tevens veronderstel je dat beheerders zelf in data graaien? Daar is software voor.

Ik snap je verhaal, maar ik ken toevallig 2 mensen die werkzaam zijn bij Faceboek, je wil het niet weten...
En dat gaat over iets meer dan 3000 mensen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure