Dropbox が、ファイル共有リンクが第三者に知られる可能性のある脆弱性を公表しました。新たに生成するリンクについては対策が施されていますが、これまでに生成された共有リンクは修正まで一時的に利用できなくなります。




Dropbox が公表した「脆弱性」は、相手にURLを教えるウェブ共有リンクで発生する問題。Dropbox の共有リンクはもともと厳密なアクセス制限ではなく、URLを知っている人だけがアクセスできる仕組みです。

問題は共有したファイルが他のウェブサイトへのハイパーリンクを含んでる場合、ブラウザの標準的な仕様としてリンク元のURLがリンク先のサーバに送信されること。たとえばリンク先ページの管理者や、リファラーを表示するサイトならば一般の訪問者にもどこから来たかが分かるため、「知っている人だけの秘密」が想定以上の範囲に広がってしまいます。

リファラーから「秘密(だと思われている)ページ」にアクセスできてしまうパターンはあまりにも古典的ですが、Dropboxがこれはウェブの仕組みだから当然、と放置していたのかうっかりなのかは不明。ともかくDropboxではこの仕様を脆弱性と認め、リファラーから元の限定共有URLが辿れない仕組みに切り替えて対処しました。なんだか懐かしい話です。

この対応に伴い、修正後に生成したリンクは問題なく使えますが、修正前に生成して共有したリンクは一時的に使えなくなります。Dropboxでは以前の共有リンクについても元が辿れないようリダイレクトする対応を進めており、完了しだい古い共有リンクも使えるようになるはずです。本当に見られては困るファイルは暗号化やアクセス制限を徹底しましょう。