Информационная безопасность / Любителям коротких ссылок посвещается: «Безопасность шаринг сервисов на примере http://cl.ly/»

в 20:12, , рубрики: mac, безопасность, шаринг, метки: , ,

Среди пользователей Mac очень распространено программное обеспечение, которое позволяет легко и быстро заливать файлы на облачный сервис и передать ссылку для просмотра или скачивания.

http://getcloudapp.com/ является одним из самых популярных сервисов, который не просто позволяет передавать любые файлы, но и формирует для них специальные короткие ссылки типа cl.ly/abcd (в целях безопасности приведен пример с несуществующей ссылкой).

Я очень часто получал эти ссылки от высококвалифицированных IT специалистов, которые работают над рядом крупных IT проектов.

До сегодняшнего дня, безопасность этих ресурсов меня не волновала по двум причинам:

1. Там не передавалось ничего конфиденциального и важного для меня и моих проектов.
2. Все друзья были ответственные и квалифицированные пользователи.

Сегодня я столкнулся с беспечностью специалистов, которые легко без доп. защиты передавали мне достаточно важные данные.

Не втягиваясь в долгие споры и дискуссии я решил провести эксперимент.

Я написал скрипт, который генерирует короткие ссылки (4-х буквенные) случайным образом с учетом регистра. Далее скрипт обращается по генерированному адресу и проверяет есть ли там что-нибудь.
Если находит, тогда записывает ссылку, название файла и размер в БД. Если не находит, то ищет дальше…

Немного статистики.

Скрипт:
— программинг — 20 минут;
— тестовый запуск — 5 минут;
— улучшение логики генерации работающих коротких ссылок — 10 минут.

Результаты работа скрипта:
— продолжительность работы скрипта 10 минут;
— всего проверенно ссылок 224;
— работающие ссылки 92 (!!!);
— разного рода скрины (в основном дизайны) 86;
— архивные файлы 6.

Перешел по нескольким наиболее интересным, по названиям, ссылкам.
Помимо кучи хороших макетов мне достался довольно интересный архивчик одного иностранного дизайнера, где было очень много макетов и исходников. Единственной защитой было изменение расширение архива с zip на key.

Надеюсь, что данный пост заставит многих задуматься о приватности. Используйте приватный режим передачи файлов и откажитесь от использования коротких ссылок.

P.S:
1. Весь чужой скачанный контент со своего компьютера я удалил.
2. Данный пост не является руководством к действию.

Автор: ShamanS


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js