Dropbox dicht referer-lek bij gedeelde links
Dropbox heeft een lek in gedeelde links gedicht waardoor derden zonder autorisatie toch toegang tot bestanden op Dropbox konden krijgen. Dropbox geeft gebruikers de mogelijkheid om bestanden met anderen te delen. Het uitwisselen van links naar deze bestanden kon echter voor problemen zorgen.
Bijvoorbeeld als een gebruiker een document op Dropbox deelde dat een link naar een website bevatte. Zodra een Dropbox-gebruiker op de link in het document klikte, werd de website in kwestie geopend, maar werd ook de locatie van het bestand zichtbaar voor de website. Zodra internetgebruikers in hun browser op een link klikken zorgt de 'referer header' ervoor dat de nieuw geopende website de locatie ziet waarvandaan de bezoeker precies afkomstig is.
Deze informatie helpt websites om bezoekersstromen beter in kaart te brengen. In het geval van Dropbox veroorzaakte dit een beveiligingsrisico, omdat serverbeheerders of webmasters in hun logs de referer headers kunnen zien, en zo de link naar Dropbox-bestanden kunnen achterhalen. Vervolgens zouden ze deze bestanden kunnen benaderen.
Als oplossing heeft Dropbox nu alle eerder gedeelde links naar dit soort documenten uitgeschakeld. Er wordt aan een oplossing gewerkt zodat deze links straks weer op een veilige manier kunnen worden gebruikt, maar in de tussentijd hebben Dropbox-gebruikers de mogelijkheid om zelf nieuwe links te genereren die de locatie niet via de referer header zullen lekken.
De andere kant van het verhaal gaat luidt dat het misschien helemaal niet zo handig is om documenten waar 'autorisatie' (lees: 'de juiste link') voor nodig is, in een cloud te zetten zonder encryptie. Buiten dat, de cloud-beheerder kan altijd meekijken, en daar kom je als gebruiker nooit achter. Hetzelfde geldt voor social media, webmail en al die andere leuke toepassingen.
Als je "over de juiste url beschikt" betekent het dat je zowel de bestandsnaam, als een random code van 15 letters en cijfers hebt weten te achterhalen. Dat is dus niet wezenlijk anders dan gewoon een gebruikersnaam en wachtwoord login. Waarbij de gemiddelde gebruikersnaam waarschijnlijk makkelijker te raden is en de meeste wachtwoorden ook geen 15 random tekens zijn.
Als je "over de juiste url beschikt" betekent het dat je zowel de bestandsnaam, als een random code van 15 letters en cijfers hebt weten te achterhalen. Dat is dus niet wezenlijk anders dan gewoon een gebruikersnaam en wachtwoord login. Waarbij de gemiddelde gebruikersnaam waarschijnlijk makkelijker te raden is en de meeste wachtwoorden ook geen 15 random tekens zijn.
Het feit dat je "als je over de juiste URL beschikt" bij het bestand kan komen is niet de issue hier, de issue is dat de pagina/het document zelf zijn URL rond liep te schreeuwen.
Denk jij nu echt dat een cloudbeheerder tijd heeft om jouw bestanden te gaan zitten bekijken? Ik weet niet hoe het zit bij Dropbox, maar de meeste beheerders bij cloud providers hebben het druk genoeg met andere zaken. Ik heb er minder vertrouwen in dat een beheerder binnen de eigen organisatie in mijn documenten of mail zit te snuffelen. Of dat hij iemand van het management, in strijd met de regels. toegang regelt. Ik hoor dat hier (>3000 medewerkers) toch ieder jaar wel een keertje. Het gebeurt gelukkig wel steeds vaker dat een beheerder zijn voet stijf houdt en geen toegang regelt.
Sommige beheerders vinden het een sport om te zien welke films en foto's collega's op hun prive schijf hebben staan.
Peter
Denk jij nu echt dat een cloudbeheerder tijd heeft om jouw bestanden te gaan zitten bekijken? Ik weet niet hoe het zit bij Dropbox, maar de meeste beheerders bij cloud providers hebben het druk genoeg met andere zaken. Ik heb er minder vertrouwen in dat een beheerder binnen de eigen organisatie in mijn documenten of mail zit te snuffelen. Of dat hij iemand van het management, in strijd met de regels. toegang regelt. Ik hoor dat hier (>3000 medewerkers) toch ieder jaar wel een keertje. Het gebeurt gelukkig wel steeds vaker dat een beheerder zijn voet stijf houdt en geen toegang regelt.
Sommige beheerders vinden het een sport om te zien welke films en foto's collega's op hun prive schijf hebben staan.
Peter
Tevens veronderstel je dat beheerders zelf in data graaien? Daar is software voor.
Ik snap je verhaal, maar ik ken toevallig 2 mensen die werkzaam zijn bij Faceboek, je wil het niet weten...
En dat gaat over iets meer dan 3000 mensen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.