¿Alterar los caracteres de la URL de un archivo lleva a otro?

3

Tengo un enlace a un archivo que está almacenado en la nube:

  

enlace

(He editado un carácter del original para privacidad)

Entonces, si se altera la cadena de basura al final, ¿cuál es la probabilidad de que se acceda a un archivo almacenado en la nube de otra persona?

¿Es esto posible?

    
pregunta Treko 22.05.2015 - 17:15
fuente

4 respuestas

20

La probabilidad es N en 153,803,885,110,405,674,678,434,597,293,100,547,399,764,930,461,696 donde N es el número de archivos almacenados en / file / d con permisos de vista pública establecidos (TY @Mike Ounsworth).

Entonces, hay una posibilidad, pero no es una gran.

La "cadena de basura" es un nombre de 28 dígitos que parece constar de letras mayúsculas (26), letras minúsculas (26) y números (10). Así que cada dígito puede ser uno de 62 caracteres. El número de combinaciones posibles para esa cadena es, por lo tanto, 62 ^ 28.

    
respondido por el gowenfawr 22.05.2015 - 17:29
fuente
4

Depende de cuántos archivos hay y de cómo se asignan los enlaces. Un desarrollador consciente de la seguridad hará que el ID sea aleatorio para cada archivo. La dificultad de adivinar la identificación aleatoria de otra persona se basa en la longitud de la identificación y la cantidad de caracteres que conforman el alfabeto.

¿Qué tan grande es el espacio de teclas?

El enlace que publicaste tiene 28 caracteres, pero dijiste que habías eliminado uno, así que lo llamaremos 29 caracteres. Podemos ver caracteres de ASCII en mayúsculas y minúsculas y números. Así que asumamos también que el alfabeto consiste solo en esos grupos. Esto nos deja con un tamaño de alfabeto de 62 caracteres. Para calcular el tamaño del espacio de teclas que utilizamos

keyspace = (alphabet size)**(length of ID)

por lo tanto

keyspace = (62)**(29) = 9.5358409e+51

Eso es un número increíblemente grande. Básicamente, tendrías que hacer adivinanzas 9.5e + 51 para encontrar un archivo en particular. Tenga en cuenta que lo anterior asume una ID que siempre tiene 29 caracteres. Si la ID es de longitud variable (por ejemplo, entre 29 y 50 caracteres), los números explotan aún más.

¿Cuál es la posibilidad de que pueda obtener el archivo de otra persona?

La pregunta se convierte en "Si selecciono una ID aleatoria, ¿cuál es la probabilidad de que devuelva un archivo?".

Esta pregunta solo puede responderse si sabe cuántas ID válidas hay. En aras de la simplicidad, supongamos que cada persona en el planeta (7.1e + 10) ha cargado miles de archivos. Esto significaría que hay 7.1e + 12 ID válidas. Incluso si asumiéramos este número (y creo que todos podemos estar de acuerdo en que el número es mucho más bajo en la realidad), la probabilidad de adivinar un número correcto sería

Likely hood of correct guess = (number of valid IDs)/(keyspace)
                             = 7.1e+12 / 9.5e+51
                             = 0.00000000000000000000000000000000000000074

En conclusión

Por lo tanto, para estar suficientemente protegido, el desarrollador debe garantizar:

  • El espacio de claves de la ID es lo suficientemente grande
  • El ID se genera de forma segura y aleatoria.
respondido por el amccormack 22.05.2015 - 17:36
fuente
1

Sí y no. Esa cadena está asociada con el ID del documento, que le permite a Google saber qué datos recuperar. Entonces, si cambia esa cadena, existe la posibilidad de que encuentre una que coincida con un documento diferente. Hay muchas combinaciones de caracteres posibles, por lo que las posibilidades de encontrar uno al azar probablemente sean bastante bajas, pero no imposibles.

Sin embargo, Google hace cumplir los controles de acceso de estos documentos antes de entregarlos, que de forma predeterminada están restringidos a la cuenta que los creó. Un usuario puede cambiar los permisos para hacer público un documento, en cuyo caso es posible que pueda encontrar un documento legible adivinando al azar las ID. Sería incluso menos probable que adivines una ID de archivo válida y que ese archivo sea público.

    
respondido por el PwdRsch 22.05.2015 - 17:33
fuente
0

La "cadena de basura" de la que habla es en realidad el identificador o nombre exclusivo de su archivo. Es posible que si cambias un carácter, ese sea el identificador de otro archivo. Es poco probable porque hay tantos identificadores posibles.

Finalmente, es solo una URL. El hecho de que tenga la URL no significa que Google Drive realmente le entregará el archivo.

    
respondido por el David Lin 24.05.2015 - 09:01
fuente

Lea otras preguntas en las etiquetas