Abo
  • Services:
Anzeige
Dropbox-Links zu Dokumenten sind leicht abfangbar.
Dropbox-Links zu Dokumenten sind leicht abfangbar. (Bild: Dropbox)

Referrer-Header: Links in geteilten Dropbox-Dokumenten sind nicht sicher

Eine bereits geschlossene Lücke bei Dropbox kann dazu führen, dass Dokumente in falsche Hände fallen. Daher hat das Unternehmen die Links zu solchen Dokumenten vorerst deaktiviert, die Nutzer müssen sie selbst wiederherstellen.

Anzeige

In einem Blogeintrag macht Dropbox auf ein bisher existierendes Sicherheitsproblem bei der Verwendung von geteilten Dokumenten aufmerksam, das nun beseitigt wird. Das einfache Teilen von Dropbox-Links wird von manchen Anwendern offenbar so verstanden, dass Dokumente in der Dropbox nur dann abrufbar sind, wenn der Empfänger auch den direkten Link kennt.

Das traf bisher aber nicht zu, wenn in einem Dokument wie einer Word-Datei oder einem PDF ein Link auf eine andere Webseite enthalten war. Die Betreiber des verlinkten Webservers konnten über die beim Anklicken mitübertragenen Referrer-Daten den Dropbox-Link abfangen. Das ist eigentlich eine logische Funktion von URLs, derer sich aber wohl nicht alle Anwender bewusst sind.

Bei neu erstellten Dropbox-Links zu Dokumenten, die ihrerseits Links enthalten, verschleiert Dropbox nun die Referrer. Und bei all den Dokumenten, die bisher von dem Problem betroffen waren, sind die Dropbox-Links nun nicht mehr aufrufbar. Sie lassen sich aber ohne erneutes Hochladen der Dateien wiederherstellen, wofür es auch eine einfache Anleitung gibt.

Wer vertrauliche Dokumente unbedingt über einen Cloud-Dienst wie Dropbox zur Verfügung stellen will, sollte sich aber nicht allein auf die Verschleierung der URLs durch den Anbieter verlassen. Besser ist es, die Daten in ein stark verschlüsseltes Archiv zu verpacken und das Passwort auf anderem Weg dem Empfänger mitzuteilen. Zudem gibt es auch die Möglichkeit, freigegebene Ordner bei Dropbox mit einem Passwort zu schützen, was aber nur eine Zusatzmaßnahme sein kann.


eye home zur Startseite
Spaghetticode 06. Mai 2014

Der ist doch überflüssig wie ein Kropf und fordert Datenschutz- und Sicherheitsprobleme...

Spaghetticode 06. Mai 2014

Bei Links aus PDFs und Google-Dokumenten (Ansichtsmodus) auf HTTP-Seiten gar kein...

knitd 06. Mai 2014

Nur JETZT erzeugte neue Links sind sicher. Links, die erzeugt wurden, bevor die Lücke...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. IT Services mpsna GmbH, Herten
  3. cab Produkttechnik GmbH & Co. KG, Karlsruhe
  4. Basler AG, Ahrensburg


Anzeige
Hardware-Angebote
  1. 56,08€ (Vergleichspreis ab ca. 65€)
  2. jetzt bei Alternate

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Apple iOS 11 Wer WLAN und Bluetooth abschaltet, benutzt es weiter
  2. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  3. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Optimierungsprogramm Ccleaner-Malware sollte wohl Techkonzerne ausspionieren
  2. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  3. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack

  1. Re: hmmm

    DarioBerlin | 18:25

  2. Re: Und bei DSL?

    bombinho | 18:08

  3. Re: Alles verstaatlichen! :)

    Faksimile | 18:05

  4. Re: Einfach nur unter Windows nachladen

    elgooG | 17:57

  5. Kunde droht mit Auftrag

    cicero | 17:57


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel