בדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com)



  • הנה תמונה פרטית (לא שיתפתי) מגוגל דרייב שלי, כידוע [עוד בנושא] אין שום בקרת גישה מטעם גוגל על זה וכל אחד שמקבל URL יכול להסתכל [ולא, זה לא חור אבטחה כי אין שום דרך לנחש את הURL, וגם הURL מאבד תוקף אח"ז].

    alt text

    הנה עוד תמונה מדף זה התמונה מאוכסנת באותו שרת (lh3.googleusercontent.com😞

    השאלה שלי:
    למה הם לא נשלחות לבדיקה?
    שאלתי במערכת הפניות וקיבלתי תשובה מ @shraga שיש בעיה טכנית, עם הפניה לפה.
    מה שהצלחתי להבין שמכיון שאין דרך להבין מהURL אם הוא תמונה פרטית (וא"כ לא אמור לעבור סינון) או תמונה ציבורי (וכן אמורה לעבור סינון) ממילא יש בעיה.
    אמנם בעניותי עוד לא הצלחתי להבין מה הבעיה?
    בהתחלה הבנתי שנטפרי לא רוצים לשלוח תמונות פרטיות לבדיקה כי זה פוגע בפרטיות של אנשים, אז הצעתי שיסננו לפי הreferer ואם הreferer הוא אתר ציבורי אז הURL כבר שותף לציבור ואין בעיה לשלוח לבדיקה.
    מבדיקה שערכתי כנראה שזה מה שקורה למעשה בין כך (נסו בעצמכם):

    $ wget https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 -O img.png
    --2018-11-15 10:25:38--  https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800
    Resolving lh3.googleusercontent.com (lh3.googleusercontent.com)... 216.58.204.65, 2a00:1450:4009:801::2001
    Connecting to lh3.googleusercontent.com (lh3.googleusercontent.com)|216.58.204.65|:443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: unspecified [image/png]
    Saving to: ‘img.png’
    
    img.png                 [ <=>                ]   5.12K  --.-KB/s    in 0s
    
    2018-11-15 10:25:40 (19.2 MB/s) - ‘img.png’ saved [5248]
    
    $ wget https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 -O img.png --referer https://drive.google.com/drive/u/0/my-drive
    --2018-11-15 10:26:20--  https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800
    Resolving lh3.googleusercontent.com (lh3.googleusercontent.com)... 216.58.204.65, 2a00:1450:4009:801::2001
    Connecting to lh3.googleusercontent.com (lh3.googleusercontent.com)|216.58.204.65|:443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 742455 (725K) [image/png]
    Saving to: ‘img.png’
    
    img.png             100%[===================>] 725.05K   669KB/s    in 1.1s
    
    2018-11-15 10:26:22 (669 KB/s) - ‘img.png’ saved [742455/742455]
    
    

    אפשר לראות כבר לפי הגודל של הקובץ שמתקבל שבwget עם referer:https://drive.google.com/drive/u/0/my-drive מתקבלת התמונה המקורית.
    אז למה א"א להשתמש בסינון לפי referer באתרים אחרים?
    קיבלתי ע"ז תשובה שלא הבנתי.
    אשמח אם למישהו יש את הסבלנות להסביר לי מה הבעיה (או שבאמת אין בעיה?)



  • אנחנו מכירים את כל השיטות האלו.
    הבעיה ש referer זה דבר שניתן לזייף. כפי שאתה בעצמך הדגמת.



  • @magicode
    סליחה ומחילה, אבל ממש לא הבנתי את התשובה.

    1. אתם בעצמכם בין כך משתמשים בreferer עבור תמונות בדרייב (וכמו שהדגמתי, וזה בסדר גמור כי אין דרך לנחש URL של תמונה).
    2. איזה דבר רע יכול לקרות אם תשלחו את התמונות לבדיקה כמו בכל אתר אחר? המקסימום שיכול לקרות שישלחו תמונה פרטית לבודקים שלא אמורים לראות אותו? אז בשביל זה הצעתי לסמוך על הreferer שתראה לפי"ז שזה לא תמונה פרטית.

    זה לא כזה איכפת לי, אבל אני רוצה להבין את התשובה, יש לי הרגשה שלא מבינים מה אני בעצם מציע...



  • תן לי מקרים שזה לא פרטי. כמו ששמת למעלה בפוסט? זה לא היעוד של התמונות האלו.







  • @yzahn תעבור על עוד תמונות מ blogspot בסאב דומיינים שונים ותבדוק האם כל התמונות מגיעות מהדומיין הזה. ותעדכן אותי.



  • @magicode בערך 99.999% מהם חסומים בנטפרי...
    בינתיים מצאתי בלוגים הרשמיים של גוגל (שאולי מבוססות על פלטפורמת blogger אף שאינם מאוכסנות תחת תת דומיין של blogspot) ושם נראה שרוב התמונות מאוכסנות תחת https://[0-9].bp.blogspot.com. בhttps://youtube.googleblog.com חלק מהתמונות מאוכסנות תחת lh[0-9].googleusercontent.com וחלק לא.
    פתחתי בלוג נסיוני, וכאשר העלתי תמונה אז התמונה מאוכסנת גם תחת https://[0-9].bp.blogspot.com וגם [או לפחות תצוגה מקדימה שלו] תחת lh3.googleusercontent.com.



  • באתר https://googleprojectzero.blogspot.com נראה שכל התמונות מאוכסנות בlh[0-9].googleusercontent.com


  • נקיפדיה

    @yzahn נראה שסודר כבר.
    נכון?



  • כן. נכון.



  • @yzahn
    למה א"כ, התמונה הראשונה בפוסט שלך עדיין חסומה ואינה נשלחת לבדיקה ?



  • זה אתה צריך לשאול את @magicode ...
    התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה. (אם ממש דחוף לך לראות את התמונה כתבתי למעלה איך להגיע אליו... ). השנייה מופיע בבלוג. כנראה שנטפרי עכשיו מזהה לפי מבנה הURL אם לשלוח לבדיקה או לא.


  • נקיפדיה

    @yzahn אמר בבדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com):

    זה אתה צריך לשאול את @magicode ...

    הנה, ענית את התשובה:

    התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה. (אם ממש דחוף לך לראות את התמונה כתבתי למעלה איך להגיע אליו... ). השנייה מופיע בבלוג. כנראה שנטפרי עכשיו מזהה לפי מבנה הURL אם לשלוח לבדיקה או לא.



  • @yzahn אמר בבדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com):

    התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה.

    לא אמור להיות משותף אז לא אמור להיות צורך לשלוח לבדיקה, אלא לפתוח בלי בדיקה.
    ואם משום שאתה הוכחת כעת שלא ניתן לפתוח א"ז בלי בדיקה, כי אז יהיה פירצה בסינון, אזי שיישלח לבדיקה כמו השאר.
    ?! ?! ?!



  • למאי נפקא מינה אם בין כך אתה לא אמור לפגוש תמונות מURL כזה חוץ מבתוך הדרייב הפרטי שלך



  • @yzahn
    לא הבנתי.
    בדרייב הפרטי שלי זה יהיה חסום ?



  • לא. במקרה של התמונה הראשונה שהוא מבנה URL של תמונות מגוגל דרייב אז בתוך דרייב זה פתוח בלי בדיקה ומחוץ לדרייב (כמו בדף זה) זה חסום לגמרי.
    איך נטפרי יודע אם אתה בתוך דרייב? לפי referer.
    למה לא לשלוח לבדיקה מחוץ לדרייב? כנראה בגלל שאין סיבה לגיטימית לפגוש תמונה כזאת מחוץ לדרייב.
    התמונה השנייה נשלח לבדיקה כמו תמונה רגילה.
    כך אני הבנתי.



  • @yzahn ומה זה?
    https://developers.google.com/waze/
    התמונות כבר אמורות להשלח לבדיקה, לא?



  • @משרדי אין הכי נמי
    כנראה בגלל שזה מבנה שונה של הURL. כנראה שהחריגו רק את סוג הURL שמצוי בblogspot. גם אני נתקלתי בתמונות שעדיין לא נשלחו לבדיקה אלא שלא היו חשובים לי. אבל לכאורה אין סיבה טכנית לא לפתוח.
    עכשיו שאני בודק מצאתי 2 תמונות בhttps://googleprojectzero.blogspot.com

    כנראה בגלל הבדלים קטנים במבנה של הURL אחד נפתח ואחד לא

    https://lh5.googleusercontent.com/D9bqB9fFazQZxUp4JH7O90ezkha-dMlFgrgGHoVaxkFet1P7cXZ6nchMcMUNDwQCAoz9A-qkLR2ISj7weDt4_AUVr_ksg56p2eDNe-WTuzlerHNM-xrch9y5wr_7myjsbbNFsvU
    https://lh5.googleusercontent.com/qgfFB0q5ASjSxTxbSlTuN5-vsLnkB3ovhIVRUBnPIQXl4KcnVm8BOIkN8639L44DmFLtvkaLD1bj98p94Cg3hDkDGZlxBMp49qYSn525ZwdX2Nuk9JCsgdGuVQE2cWYOyP8ia3QD
    

Log in to reply
 

לנושאים
כלליים
שאינם
קשורים
לנטפרי: