בדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com)

yzahn

הנה תמונה פרטית (לא שיתפתי) מגוגל דרייב שלי, כידוע [עוד בנושא] אין שום בקרת גישה מטעם גוגל על זה וכל אחד שמקבל URL יכול להסתכל [ולא, זה לא חור אבטחה כי אין שום דרך לנחש את הURL, וגם הURL מאבד תוקף אח"ז].

הנה עוד תמונה מדף זה התמונה מאוכסנת באותו שרת (lh3.googleusercontent.com

השאלה שלי:
למה הם לא נשלחות לבדיקה?
שאלתי במערכת הפניות וקיבלתי תשובה מ @shraga שיש בעיה טכנית, עם הפניה לפה.
מה שהצלחתי להבין שמכיון שאין דרך להבין מהURL אם הוא תמונה פרטית (וא"כ לא אמור לעבור סינון) או תמונה ציבורי (וכן אמורה לעבור סינון) ממילא יש בעיה.
אמנם בעניותי עוד לא הצלחתי להבין מה הבעיה?
בהתחלה הבנתי שנטפרי לא רוצים לשלוח תמונות פרטיות לבדיקה כי זה פוגע בפרטיות של אנשים, אז הצעתי שיסננו לפי הreferer ואם הreferer הוא אתר ציבורי אז הURL כבר שותף לציבור ואין בעיה לשלוח לבדיקה.
מבדיקה שערכתי כנראה שזה מה שקורה למעשה בין כך (נסו בעצמכם):

$ wget https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 -O img.png
--2018-11-15 10:25:38--  https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800
Resolving lh3.googleusercontent.com (lh3.googleusercontent.com)... 216.58.204.65, 2a00:1450:4009:801::2001
Connecting to lh3.googleusercontent.com (lh3.googleusercontent.com)|216.58.204.65|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [image/png]
Saving to: ‘img.png’

img.png                 [ <=>                ]   5.12K  --.-KB/s    in 0s

2018-11-15 10:25:40 (19.2 MB/s) - ‘img.png’ saved [5248]

$ wget https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 -O img.png --referer https://drive.google.com/drive/u/0/my-drive
--2018-11-15 10:26:20--  https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800
Resolving lh3.googleusercontent.com (lh3.googleusercontent.com)... 216.58.204.65, 2a00:1450:4009:801::2001
Connecting to lh3.googleusercontent.com (lh3.googleusercontent.com)|216.58.204.65|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 742455 (725K) [image/png]
Saving to: ‘img.png’

img.png             100%[===================>] 725.05K   669KB/s    in 1.1s

2018-11-15 10:26:22 (669 KB/s) - ‘img.png’ saved [742455/742455]

אפשר לראות כבר לפי הגודל של הקובץ שמתקבל שבwget עם referer:https://drive.google.com/drive/u/0/my-drive מתקבלת התמונה המקורית.
אז למה א"א להשתמש בסינון לפי referer באתרים אחרים?
קיבלתי ע"ז תשובה שלא הבנתי.
אשמח אם למישהו יש את הסבלנות להסביר לי מה הבעיה (או שבאמת אין בעיה?)

magicode

אנחנו מכירים את כל השיטות האלו.
הבעיה ש referer זה דבר שניתן לזייף. כפי שאתה בעצמך הדגמת.

yzahn

@magicode
סליחה ומחילה, אבל ממש לא הבנתי את התשובה.

1. אתם בעצמכם בין כך משתמשים בreferer עבור תמונות בדרייב (וכמו שהדגמתי, וזה בסדר גמור כי אין דרך לנחש URL של תמונה).
2. איזה דבר רע יכול לקרות אם תשלחו את התמונות לבדיקה כמו בכל אתר אחר? המקסימום שיכול לקרות שישלחו תמונה פרטית לבודקים שלא אמורים לראות אותו? אז בשביל זה הצעתי לסמוך על הreferer שתראה לפי"ז שזה לא תמונה פרטית.

זה לא כזה איכפת לי, אבל אני רוצה להבין את התשובה, יש לי הרגשה שלא מבינים מה אני בעצם מציע...

magicode

תן לי מקרים שזה לא פרטי. כמו ששמת למעלה בפוסט? זה לא היעוד של התמונות האלו.

yzahn

תמונות באתר שמאוכסן בblogspot. למשל בעמוד זו יש תמונות שאמרו לי שא"א לפתוח

Chocolate

@magicode
https://netfree.link/user#/tickets/ticket/442726
(עכשיו כן פתחו?)

magicode

@yzahn תעבור על עוד תמונות מ blogspot בסאב דומיינים שונים ותבדוק האם כל התמונות מגיעות מהדומיין הזה. ותעדכן אותי.

yzahn

@magicode בערך 99.999% מהם חסומים בנטפרי...
בינתיים מצאתי בלוגים הרשמיים של גוגל (שאולי מבוססות על פלטפורמת blogger אף שאינם מאוכסנות תחת תת דומיין של blogspot) ושם נראה שרוב התמונות מאוכסנות תחת https://[0-9].bp.blogspot.com. בhttps://youtube.googleblog.com חלק מהתמונות מאוכסנות תחת lh[0-9].googleusercontent.com וחלק לא.
פתחתי בלוג נסיוני, וכאשר העלתי תמונה אז התמונה מאוכסנת גם תחת https://[0-9].bp.blogspot.com וגם [או לפחות תצוגה מקדימה שלו] תחת lh3.googleusercontent.com.

yzahn

באתר https://googleprojectzero.blogspot.com נראה שכל התמונות מאוכסנות בlh[0-9].googleusercontent.com

WWW

@yzahn נראה שסודר כבר.
נכון?

yzahn

כן. נכון.

ליכט

@yzahn
למה א"כ, התמונה הראשונה בפוסט שלך עדיין חסומה ואינה נשלחת לבדיקה ?

yzahn

זה אתה צריך לשאול את @magicode ...
התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה. (אם ממש דחוף לך לראות את התמונה כתבתי למעלה איך להגיע אליו... ). השנייה מופיע בבלוג. כנראה שנטפרי עכשיו מזהה לפי מבנה הURL אם לשלוח לבדיקה או לא.

WWW

@yzahn אמר בבדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com):

זה אתה צריך לשאול את @magicode ...

הנה, ענית את התשובה:

התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה. (אם ממש דחוף לך לראות את התמונה כתבתי למעלה איך להגיע אליו... ). השנייה מופיע בבלוג. כנראה שנטפרי עכשיו מזהה לפי מבנה הURL אם לשלוח לבדיקה או לא.

ליכט

@yzahn אמר בבדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com):

התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה.

לא אמור להיות משותף אז לא אמור להיות צורך לשלוח לבדיקה, אלא לפתוח בלי בדיקה.
ואם משום שאתה הוכחת כעת שלא ניתן לפתוח א"ז בלי בדיקה, כי אז יהיה פירצה בסינון, אזי שיישלח לבדיקה כמו השאר.
?! ?! ?!

yzahn

למאי נפקא מינה אם בין כך אתה לא אמור לפגוש תמונות מURL כזה חוץ מבתוך הדרייב הפרטי שלך

ליכט

@yzahn
לא הבנתי.
בדרייב הפרטי שלי זה יהיה חסום ?

yzahn

לא. במקרה של התמונה הראשונה שהוא מבנה URL של תמונות מגוגל דרייב אז בתוך דרייב זה פתוח בלי בדיקה ומחוץ לדרייב (כמו בדף זה) זה חסום לגמרי.
איך נטפרי יודע אם אתה בתוך דרייב? לפי referer.
למה לא לשלוח לבדיקה מחוץ לדרייב? כנראה בגלל שאין סיבה לגיטימית לפגוש תמונה כזאת מחוץ לדרייב.
התמונה השנייה נשלח לבדיקה כמו תמונה רגילה.
כך אני הבנתי.

משרדי

@yzahn ומה זה?
https://developers.google.com/waze/
התמונות כבר אמורות להשלח לבדיקה, לא?

yzahn

@משרדי אין הכי נמי
כנראה בגלל שזה מבנה שונה של הURL. כנראה שהחריגו רק את סוג הURL שמצוי בblogspot. גם אני נתקלתי בתמונות שעדיין לא נשלחו לבדיקה אלא שלא היו חשובים לי. אבל לכאורה אין סיבה טכנית לא לפתוח.
עכשיו שאני בודק מצאתי 2 תמונות בhttps://googleprojectzero.blogspot.com

כנראה בגלל הבדלים קטנים במבנה של הURL אחד נפתח ואחד לא

https://lh5.googleusercontent.com/D9bqB9fFazQZxUp4JH7O90ezkha-dMlFgrgGHoVaxkFet1P7cXZ6nchMcMUNDwQCAoz9A-qkLR2ISj7weDt4_AUVr_ksg56p2eDNe-WTuzlerHNM-xrch9y5wr_7myjsbbNFsvU
https://lh5.googleusercontent.com/qgfFB0q5ASjSxTxbSlTuN5-vsLnkB3ovhIVRUBnPIQXl4KcnVm8BOIkN8639L44DmFLtvkaLD1bj98p94Cg3hDkDGZlxBMp49qYSn525ZwdX2Nuk9JCsgdGuVQE2cWYOyP8ia3QD