パスワードを忘れた? アカウント作成
77375 story
Google

Googleドキュメントに新たなセキュリティ・ホール 103

ストーリー by otk
蟻の一穴 部門より

Anonymous Toward および あるAnonymous Coward 曰く、

Googleドキュメントに、また新たなセキュリティ・ホールが発見されたようだ。TechCrunch Japanの記事によると、これはセキュリティー・コンサルタントのAde Barkah氏が指摘しているもので、概要は次のとおり。

  • 非公開文書に埋め込まれた画像ファイルは非公開とはならず、URLさえわかれば誰でも閲覧可能(さらに、文書を削除してもその画像はアクセス可能状態のまま残る)
  • 先日追加された図形描画機能で作成した図を誰かと共有した場合、共有相手はその図のバージョンをさかのぼって閲覧可能
  • 共有相手から誰かを削除した後でも、特定の条件下で、その相手が共有文書に依然としてアクセス可能(深刻な問題なので詳細は非公開)

TechCrunchの問い合わせに対し、Googleの広報担当者は「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」と回答しているとのこと。

関連ストーリーにあるとおり、Googleドキュメントでは今月初旬にも、非公開のドキュメントが共有されてしまうという問題が見つかっている(修正済み)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 関連記事 (スコア:3, 参考になる)

    by moca (33770) on 2009年03月28日 18時24分 (#1539671) 日記
    リンク辿ればすぐ見つかるけど、一応。

    非公開文書に埋め込まれた画像ファイルは非公開とはならず、URLさえわかれば誰でも閲覧可能(文書を削除してもその画像はアクセス可能状態のまま残る)

    この辺が似てる過去記事ですね。2度ある事は3度あるというかなんというか。
    今度はGoogleマップで意図しない個人情報流出騒ぎ [srad.jp]
    Googleマイマップを削除しても、残骸が発生して消せなくなる不具合 [srad.jp]
    ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 [srad.jp]
    ちなみにmixiのはその後、TarZさんの日記 [srad.jp]にあるように修正されたらしい。

    • Re:関連記事 (スコア:5, 参考になる)

      by dameneco (33758) on 2009年03月28日 21時15分 (#1539711) 日記

      http://www.itmedia.co.jp/news/articles/0903/25/news047.html [itmedia.co.jp]
      「Googleストリートビューは違法」――英プライバシー保護団体が苦情
      ---
      * 15歳の少年がスケートボードを持っている写真がStreet Viewに掲載された。この少年の両親は
      スケートボードの利用を禁止していたため親子げんかになり、少年は現在友人のところにいる

      * 既婚男性が同僚の女性と密着して話している様子をGoogleが撮影。道路工事でうるさかったため
      密着して話さなければならなかったのだが、浮気しているように見え、夫婦げんかになった

      * 暴力的な元夫から逃れるために転居した女性が、Street Viewで自分の居場所がばれる
      のではないかと不安を訴えている

      * 大会社で働く2人の男性が、キスをしているように見える写真がStreet Viewに載った。
      実際はそうではないが、会社中に写真が出回り、彼ら自身もそのパートナー(女性)も恥ずかしい思いをした
      ---
      かなり危なそうです。

      親コメント
  • by fiercewinds (22740) on 2009年03月28日 14時09分 (#1539612) 日記

    あいかわらずGOOGLEは……

    利用者に誤解させたり、嘘をついたり、騙くらかしたり、裏でこそこそやるのが『邪悪にならない』ことなのかね?

    • by Anonymous Coward
      別に問題があったら改善すればいいだけの話なのに
      >指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています
      なにこれ…
  • gmail (スコア:2, 興味深い)

    by Anonymous Coward on 2009年03月28日 19時11分 (#1539682)
    先日捨てメアドとしてgmailで大文字小文字数
    字合わせて20字のアカウントを2つ作成したの
    ですが、どちらにも2週間で2~3通spamメール
    が来ました。
    (英語で宝くじがあったやらなんたら)

    もちろん英数字の羅列なので辞書に載っている
    ような単語にはなりません、そしてこのアカウ
    ントを作ったことを誰にも伝えてないのです。

    どこからこのアドレスが漏れたのか不思議でな
    りませんが、これがgoogleクオリティーかと
    思っています。
    • Re:gmail (スコア:2, 興味深い)

      by Anonymous Coward on 2009年03月28日 22時11分 (#1539732)
      私は、a~zの小文字のみ8文字(名前ではない)でメアドを作りましたが、
      1年たった今でも一通すらspamがありません。

      一方でユーザ登録に使っている名前をベースにしたメアド(こちらもgmail)は、
      英語や日本語で見境なくspamがやってきます。

      他に、gmailを取得する前から使ってたメアド(プロバイダ)があるのですが、
      6年使ってspamなしだったのに、不景気になったとたん、spam(日本語だけ)が
      届くようになりました。(一部上場企業以外に登録したことはないはない)

      gmailアカウントの数を考えれば、わずか数例をもって推測することなどできませんが、
      私はgoogleクオリティーと別の問題ではないかと思います。
      親コメント
    • Re:gmail (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2009年03月28日 22時38分 (#1539739)

      その捨てメアドとやらを使わねばならなかった連絡相手を真っ先に疑うべきではないのか。

      親コメント
    • Re:gmail (スコア:1, 興味深い)

      by Anonymous Coward on 2009年03月28日 23時20分 (#1539749)

      Googleのサービスの中には、アクセスするアドレスの中に、アカウントのメルアドが含まれていることがあります。
      公開していれば検索に引っかかってくるし、公開して無くても、アドレスそのものにメルアドが含まれているので、たとえばブクマしちゃうとかすると、botに拾われる可能性があります。

      まぁサービスの仕様がなってないのとしかいいようがない。

      親コメント
  • by Anonymous Coward on 2009年03月28日 13時03分 (#1539593)

    「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」

    一瞬ダメ日本法人の担当者かとオモタ。本社もうんこなのね。

    • by nipo (34616) on 2009年03月30日 14時22分 (#1540176)
      「指摘のあった問題はGoogleに重大なセキュリティ上の危険をもたらすと考えています」
      親コメント
    • by Anonymous Coward

      ソフトウェアの脆弱性が見つかったり、顧客情報が漏洩したときに
      「本件に起因する実際の被害は確認しておりません」
      って言っとけという、決まり文句なんでしょうなあ。

    • by Anonymous Coward

      広報のあまりの能無しっぷりに笑ってしまった。
      こりゃ人員削減を始めるはずだわ。
      ずいぶん程度の低いのも混じってきてるみたいだな。

  • 脆弱性と仕様 (スコア:1, 参考になる)

    by Anonymous Coward on 2009年03月28日 14時11分 (#1539613)

    キャラバンで見たこれを思い出した。
    http://www.utf-8.jp/public/20090207/h6.html?file=data.txt [utf-8.jp]
    * IPA モナーPゴシック, メイリオフォント推奨

  • by user003 (37747) on 2009年03月28日 15時45分 (#1539635)
    もうgoogleは使わない
    • もともと特定一社を特別扱いするのはおかしいわけで。
      • by yukichi (12361) on 2009年03月28日 19時08分 (#1539681) ホームページ

        というわけで、キーボードのグーグルという文字をセロテープで封印することにします。

        親コメント
      • 別に特定扱いとかそういうことじゃないのでは,というか,
        「ググる」というのがGoogleで検索することなんだから何もおかしくないだろと思うのですが…
      • by Anonymous Coward

        > もともと特定一社を特別扱いするのはおかしいわけで。

        誰に対しておかしいと言っているんですかね。

        ある程度市場を占めたものを一般名詞化することは自然なこと。
        ホッチキスしかりウォークマンしかり。
        仮にどこぞに仕掛けられたものだとしても、定着するということの重みを
        否定することはできないでしょう。

      • by Anonymous Coward

        特別扱いというか、YahooでググれとかLiveでググれとは言わないでしょ。

        Yahooでヤフーれとか、Liveでライブれとか。

        • by Anonymous Coward on 2009年03月28日 21時36分 (#1539719)
          いや、言うんですよ。Yahooでぐぐれって。会社でよく見かける日常風景ですよ
          親コメント
        • > 特別扱いというか、YahooでググれとかLiveでググれとは言わないでしょ。

          意外や意外、「ググる」を検索するという意味で使っている人が身近にいます。
          部下の会話を聞いて自分なりに解釈して自然に覚えたみたいです。
          まるで新生児が言葉を習得するかのようですね。

          そういう人は Yahoo でググったりしちゃうかもしれません。

          あ、でもその人はサーチエンジンはグーグルしか知らなかったりするので問題ないか。

          --
          閾値は 0 で
          親コメント
  • by Anonymous Coward on 2009年03月28日 12時45分 (#1539586)
    セキュリティとホールの間に中黒入れてるのは
  • by Anonymous Coward on 2009年03月28日 13時01分 (#1539592)

    今に始まったことではないが、

    > 「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」

    こんなこと言ってるようじゃ、もう終わりだな。
    セキュリティ上の問題が発見されること自体は、あるていど仕方がないけど。

    それとも、先日のXSSの話題にあったように、
    セキュリティ問題について日本人は神経質すぎるのか?

    • Re:Googleもうだめ (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2009年03月28日 15時27分 (#1539627)
      そんなに大事な情報ならコインロッカーに入れる様なマネすんじゃねーよ。
      by Google
      親コメント
    • by phenix (31258) on 2009年03月29日 12時49分 (#1539848)

      Googleは、リンクの張られておらず、推測不能な十分長いURLは、アクセス制限として有効だと考えているようです。
      実際、カレンダーには、ログインなしで予定がみれるURLが設定されています。

      どういう実装になってるかは知りませんが、わざと応答遅くするなど、
      総当たり攻撃対策やっててくれれば、個人的には十分だと思いますが・・・

      親コメント
    • Re:Googleもうだめ (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2009年03月28日 13時26分 (#1539600)
      Google自体が重大なセキュリティ上の危険なのでいまさらどーってことない、という意味かと
      親コメント
      • Re:Googleもうだめ (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2009年03月29日 11時50分 (#1539832)
        そもそも、技術屋というのはユーザのことはどうでもよくて
        自分が技術的に面白いと思うかどうかだけで物事を考えるフシがある。
        技術屋が中心となって作った会社でユーザ本意に動くところなんて僅少だよな。
        親コメント
        • Re:Googleもうだめ (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2009年03月29日 19時08分 (#1539903)

          > 技術屋が中心となって作った会社でユーザ本意に動くところなんて僅少だよな。

          技術屋が中心でない会社だって、「ユーザ本意に動」いたりするわけはない。

          親コメント
    • by Anonymous Coward on 2009年03月28日 15時27分 (#1539628)

      > 日本人は神経質すぎるのか

      セキュリティー問題を見つけたAde Barkahも
      TechCrunchの記事を書いたRobin Wautersも
      多分、日本人ではない。

      親コメント
    • by hashitom (34540) on 2009年03月29日 16時25分 (#1539882)
      > セキュリティ問題について日本人は神経質すぎるのか?
      普通の日本人はまだまだリスク・マネジメントについて鈍感だからではないでしょうか。
      詰まる所は、セキュリティ確保において心許ない基盤の上のサービスであることを念頭に
      リスクを受容して使用するための見極めと対応とをできないので、神経質に穴を塞ごうと
      しているように思います。

      仮に高額安全なサービスと定額何ありのサービスをグーグルが省内として提供し始めたら、
      果たしてどれだけのユーザーが前者を選ばず、後者を無償で改善しろとだけいうか、
      国別で見てみたいものです。
      親コメント
    • by Anonymous Coward
      Googleにモラルなど無いってことでしょ
    • by Anonymous Coward
      セキュリティ上の危険がもたらされるのは、Googleドキュメントのユーザーであって、
      Googleドキュメントじゃないよ、って意味じゃないかと。
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...