Seguridad de fotos de Google Drive y lh * .googleusercontent.com públicamente visible

3

Pensé que Google Drive era más seguro que esto.

Si subo una foto a Google Drive, no me importa que se la confíen y también asumo que alguien que trabaja allí puede verla. No es gran cosa. Sin embargo, para el resto del mundo, asumo que mi foto está a salvo de que alguien obtenga mi contraseña e inicie sesión en mi cuenta.

Abrí mi imagen mientras estaba en la pestaña de red inspeccionando el tráfico y encontré que la imagen se extrae de una ubicación secundaria:

Esta es una imagen compartida con nadie más que yo en Google Drive. Cualquier persona que sea capaz de inspeccionar el tráfico de la red puede interceptar esa imagen por su dirección de contenido de usuario de Google, ya que pasa por alto mi autoridad de inicio de sesión.

Por lo tanto, existe la versión pública del documento privado alojado en googleusercontent.com y la versión privada alojada en drive.google.com

Google Drive ni siquiera parece ser una opción razonablemente segura para mis datos, a pesar de que dicen "Sus archivos son privados a menos que decida compartirlos".
fuente: ¿Es seguro Google Drive?

Mis archivos no parecen tan privados de alguien que está inspeccionando el tráfico de la red.

Pero, debo estar perdiendo algo. ¿Qué es lo que no entiendo? Traté de encontrar esa dirección que expone mi imagen con Wireshark pero me perdí en detalles. ¿Cómo puede ver una solicitud de red la solicitud generada para el contenido de google cuando la veo generada en la pestaña de mi red en el navegador cuando abro la foto 'privada' en Google Drive?

    
pregunta ThisClark 21.04.2016 - 18:31
fuente

1 respuesta

6
  

Cualquier persona capaz de inspeccionar el tráfico de la red puede interceptar esa imagen   por su dirección de contenido de usuario de Google, ya que elude mi autorización de inicio de sesión.

No del todo. Como se trata de HTTPS, solo la persona que conoce la clave privada en uso (solo debe ser usted y Google) tiene acceso a la URL completa. Ahora, es vulnerable a cosas como los ataques del historial del navegador (cualquiera que vea su historial puede saberlo ya que su navegador no hace nada para ofuscarlo) y algunos otros peligros, pero no está disponible para un espectador ocasional.

¿Pensando en adivinar la URL? Hay ~ 70 caracteres en la URL que producen 390 bits de entropía, adivinarlo definitivamente no es práctico a menos que pueda encontrar algunas debilidades (es decir, si no es realmente aleatorio) de lo contrario, para encontrar una sola imagen real tomaría más de mil millones años de intentos (suponiendo que tengan miles de millones de imágenes en sus instalaciones) y, además, es totalmente imposible encontrar las fotos de un usuario en particular mediante adivinanzas.

No pude volver a crear el acceso a su URL (dio un error 404 idéntico al uso de una URL adivinada), sospecho que la imagen y / o miniatura (lo que se crea y se pone allí) está en la memoria o de alguna manera similar Estado de corta duración, probablemente desaparecido en una hora o menos.

    
respondido por el Jeff Meden 21.04.2016 - 18:38
fuente

Lea otras preguntas en las etiquetas