בדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com)
-
הנה תמונה פרטית (לא שיתפתי) מגוגל דרייב שלי, כידוע [עוד בנושא] אין שום בקרת גישה מטעם גוגל על זה וכל אחד שמקבל URL יכול להסתכל [ולא, זה לא חור אבטחה כי אין שום דרך לנחש את הURL, וגם הURL מאבד תוקף אח"ז].
הנה עוד תמונה מדף זה התמונה מאוכסנת באותו שרת (lh3.googleusercontent.com
השאלה שלי:
למה הם לא נשלחות לבדיקה?
שאלתי במערכת הפניות וקיבלתי תשובה מ @shraga שיש בעיה טכנית, עם הפניה לפה.
מה שהצלחתי להבין שמכיון שאין דרך להבין מהURL אם הוא תמונה פרטית (וא"כ לא אמור לעבור סינון) או תמונה ציבורי (וכן אמורה לעבור סינון) ממילא יש בעיה.
אמנם בעניותי עוד לא הצלחתי להבין מה הבעיה?
בהתחלה הבנתי שנטפרי לא רוצים לשלוח תמונות פרטיות לבדיקה כי זה פוגע בפרטיות של אנשים, אז הצעתי שיסננו לפי הreferer
ואם הreferer
הוא אתר ציבורי אז הURL כבר שותף לציבור ואין בעיה לשלוח לבדיקה.
מבדיקה שערכתי כנראה שזה מה שקורה למעשה בין כך (נסו בעצמכם):$ wget https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 -O img.png --2018-11-15 10:25:38-- https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 Resolving lh3.googleusercontent.com (lh3.googleusercontent.com)... 216.58.204.65, 2a00:1450:4009:801::2001 Connecting to lh3.googleusercontent.com (lh3.googleusercontent.com)|216.58.204.65|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [image/png] Saving to: ‘img.png’ img.png [ <=> ] 5.12K --.-KB/s in 0s 2018-11-15 10:25:40 (19.2 MB/s) - ‘img.png’ saved [5248] $ wget https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 -O img.png --referer https://drive.google.com/drive/u/0/my-drive --2018-11-15 10:26:20-- https://lh3.googleusercontent.com/OLv1IQuXV1ierh5cKw3nELgB7yWM1-LIsspZfWEgPIakmpsc5F7uO0EYN-0KCuSkt3wLd79Zi7k3Wsz3zvoc9ZJicVkg99ikgvvwRC3Vp7eu3rQxHC2YEoriI_AhuwRKiB1JBRqaGJS2scmrh3ZdQnzpD8JWEL08WHHuMEMS40v34Fvgvp-PXdqn3nOEkzZga_ZKyd3rSRBzDfoErIvO7i-Y1LQIE_nlzMdSPgVNXVIY5Ig0f7Z_AasGZS77pyArWpQ6aB907jkqoSbNt9Wk-eLTMi3I4BQ-sCu52YE1RSMDVGp9NCBQ20eyQN4VNHSI1sz2o8KEYJFoc2hg8qAO2sytGa6U7KdC-mfOikE4pUqP56gVe9HnZ_C1trblJhG1M6GQL9i91Es9JIoIJ1-yWwNjvgSjkwZ_acD19AtAoH2eNEaK1mwo515yBRVoEWCwjQqaxaTtAThQwORXGFwigNs6TXPSR8Z7iHWq8xxIkJeb8g-5PkBWsDhGFTAXXnbJ0wLD7qhoFvd0Za3Yq5JKogKyhh1mUZy99XCFlTcTXPuNKBbqwl6kuYaTcRxvl6nzzPhZ0BgW0hZ0_r_UJtXfNtB05JpG7QY5=w800 Resolving lh3.googleusercontent.com (lh3.googleusercontent.com)... 216.58.204.65, 2a00:1450:4009:801::2001 Connecting to lh3.googleusercontent.com (lh3.googleusercontent.com)|216.58.204.65|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 742455 (725K) [image/png] Saving to: ‘img.png’ img.png 100%[===================>] 725.05K 669KB/s in 1.1s 2018-11-15 10:26:22 (669 KB/s) - ‘img.png’ saved [742455/742455]
אפשר לראות כבר לפי הגודל של הקובץ שמתקבל שב
wget
עםreferer:https://drive.google.com/drive/u/0/my-drive
מתקבלת התמונה המקורית.
אז למה א"א להשתמש בסינון לפיreferer
באתרים אחרים?
קיבלתי ע"ז תשובה שלא הבנתי.
אשמח אם למישהו יש את הסבלנות להסביר לי מה הבעיה (או שבאמת אין בעיה?) -
אנחנו מכירים את כל השיטות האלו.
הבעיה ש referer זה דבר שניתן לזייף. כפי שאתה בעצמך הדגמת. -
@magicode
סליחה ומחילה, אבל ממש לא הבנתי את התשובה.- אתם בעצמכם בין כך משתמשים ב
referer
עבור תמונות בדרייב (וכמו שהדגמתי, וזה בסדר גמור כי אין דרך לנחש URL של תמונה). - איזה דבר רע יכול לקרות אם תשלחו את התמונות לבדיקה כמו בכל אתר אחר? המקסימום שיכול לקרות שישלחו תמונה פרטית לבודקים שלא אמורים לראות אותו? אז בשביל זה הצעתי לסמוך על ה
referer
שתראה לפי"ז שזה לא תמונה פרטית.
זה לא כזה איכפת לי, אבל אני רוצה להבין את התשובה, יש לי הרגשה שלא מבינים מה אני בעצם מציע...
- אתם בעצמכם בין כך משתמשים ב
-
תן לי מקרים שזה לא פרטי. כמו ששמת למעלה בפוסט? זה לא היעוד של התמונות האלו.
-
תמונות באתר שמאוכסן בblogspot. למשל בעמוד זו יש תמונות שאמרו לי שא"א לפתוח
-
@magicode
https://netfree.link/user#/tickets/ticket/442726
(עכשיו כן פתחו?) -
@yzahn תעבור על עוד תמונות מ blogspot בסאב דומיינים שונים ותבדוק האם כל התמונות מגיעות מהדומיין הזה. ותעדכן אותי.
-
@magicode בערך 99.999% מהם חסומים בנטפרי...
בינתיים מצאתי בלוגים הרשמיים של גוגל (שאולי מבוססות על פלטפורמת blogger אף שאינם מאוכסנות תחת תת דומיין של blogspot) ושם נראה שרוב התמונות מאוכסנות תחתhttps://[0-9].bp.blogspot.com
. בhttps://youtube.googleblog.com
חלק מהתמונות מאוכסנות תחתlh[0-9].googleusercontent.com
וחלק לא.
פתחתי בלוג נסיוני, וכאשר העלתי תמונה אז התמונה מאוכסנת גם תחתhttps://[0-9].bp.blogspot.com
וגם [או לפחות תצוגה מקדימה שלו] תחתlh3.googleusercontent.com
. -
באתר https://googleprojectzero.blogspot.com נראה שכל התמונות מאוכסנות ב
lh[0-9].googleusercontent.com
-
@yzahn נראה שסודר כבר.
נכון? -
כן. נכון.
-
@yzahn
למה א"כ, התמונה הראשונה בפוסט שלך עדיין חסומה ואינה נשלחת לבדיקה ? -
זה אתה צריך לשאול את @magicode ...
התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה. (אם ממש דחוף לך לראות את התמונה כתבתי למעלה איך להגיע אליו... ). השנייה מופיע בבלוג. כנראה שנטפרי עכשיו מזהה לפי מבנה הURL אם לשלוח לבדיקה או לא. -
@yzahn אמר בבדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com):
זה אתה צריך לשאול את @magicode ...
הנה, ענית את התשובה:
התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה. (אם ממש דחוף לך לראות את התמונה כתבתי למעלה איך להגיע אליו... ). השנייה מופיע בבלוג. כנראה שנטפרי עכשיו מזהה לפי מבנה הURL אם לשלוח לבדיקה או לא.
-
@yzahn אמר בבדיקת תמונות שמאוכסנות בשרתי גוגל (lh[0-9].googleusercontent.com):
התמונה הראשונה לא אמור להיות אף פעם משותף לכן לא אמור להיות צורך אף פעם לשלוח לבדיקה.
לא אמור להיות משותף אז לא אמור להיות צורך לשלוח לבדיקה, אלא לפתוח בלי בדיקה.
ואם משום שאתה הוכחת כעת שלא ניתן לפתוח א"ז בלי בדיקה, כי אז יהיה פירצה בסינון, אזי שיישלח לבדיקה כמו השאר.
?! ?! ?! -
למאי נפקא מינה אם בין כך אתה לא אמור לפגוש תמונות מURL כזה חוץ מבתוך הדרייב הפרטי שלך
-
@yzahn
לא הבנתי.
בדרייב הפרטי שלי זה יהיה חסום ? -
לא. במקרה של התמונה הראשונה שהוא מבנה URL של תמונות מגוגל דרייב אז בתוך דרייב זה פתוח בלי בדיקה ומחוץ לדרייב (כמו בדף זה) זה חסום לגמרי.
איך נטפרי יודע אם אתה בתוך דרייב? לפיreferer
.
למה לא לשלוח לבדיקה מחוץ לדרייב? כנראה בגלל שאין סיבה לגיטימית לפגוש תמונה כזאת מחוץ לדרייב.
התמונה השנייה נשלח לבדיקה כמו תמונה רגילה.
כך אני הבנתי. -
@yzahn ומה זה?
https://developers.google.com/waze/
התמונות כבר אמורות להשלח לבדיקה, לא? -
@משרדי אין הכי נמי
כנראה בגלל שזה מבנה שונה של הURL. כנראה שהחריגו רק את סוג הURL שמצוי בblogspot. גם אני נתקלתי בתמונות שעדיין לא נשלחו לבדיקה אלא שלא היו חשובים לי. אבל לכאורה אין סיבה טכנית לא לפתוח.
עכשיו שאני בודק מצאתי 2 תמונות בhttps://googleprojectzero.blogspot.comכנראה בגלל הבדלים קטנים במבנה של הURL אחד נפתח ואחד לא
https://lh5.googleusercontent.com/D9bqB9fFazQZxUp4JH7O90ezkha-dMlFgrgGHoVaxkFet1P7cXZ6nchMcMUNDwQCAoz9A-qkLR2ISj7weDt4_AUVr_ksg56p2eDNe-WTuzlerHNM-xrch9y5wr_7myjsbbNFsvU https://lh5.googleusercontent.com/qgfFB0q5ASjSxTxbSlTuN5-vsLnkB3ovhIVRUBnPIQXl4KcnVm8BOIkN8639L44DmFLtvkaLD1bj98p94Cg3hDkDGZlxBMp49qYSn525ZwdX2Nuk9JCsgdGuVQE2cWYOyP8ia3QD