Bei Dropbox ist man auf den Referer-Header aufmerksam geworden: Klickt ein User einen Link im Browser, wird dem Server entsprechenden Server auch mitgeteilt auf welcher Seite dieser Link geklickt wurde. Dadurch konnten auch Links zu per Dropbox geteilten Dokumenten an Dritte verteilt werden.
Die Referer-Header sind für die Betreiber einer Website eine praktische Sache. Sie erlauben nicht nur zu sehen, woher ein Besucher auf die eigene Website kam, es lassen sich darüber auch die Wege von Besuchern auf der eigenen Website nachverfolgen. Dieser Header ist keine neue Erfindung und so überrascht es doch ein wenig, dass man bei Dropbox erst jetzt darauf aufmerksam wurde, dass dies dazu führen kann, dass der Betreiber eines Webservers auf diesem Weg ungewollt an die Links zu geteilten Dokumenten kommen kann.
So praktisch wie der Referer-Header für Website-Betreiber ist, so praktisch ist das einfache Teilen von Links bei Dropbox: Datei in die Dropbox kopieren, Link erzeugen lassen und weitergeben. Schon hat der Empfänger das Dokument ohne selbst einen Dropbox-Account zu benötigen. Wenn dieses Dokument nun aber einen Link enthält – zum Beispiel ein PDF oder ein Word-Dokument – und der Empfänger diesen klickt, dann erhält der Betreiber der so verlinkten Website in seinen Logs eben genau die Adresse des Dokuments, auch wenn es nicht für ihn bestimmt ist. Zumindest bisher.
Damit diese Lücke nicht ausgenutzt wird – es ist bei Dropbox bisher kein Fall bekannt – wurden alle entsprechenden Links bestehender Dokumente deaktiviert, sollen aber in den nächsten tagen wieder aktiviert werden. Wer nicht so lange warten kann, der kann diese Links neu erzeugen, denn für alle neu erzeugten Links ist diese Lücke gefixt:
- For previously shared links to such documents, we’ve disabled access entirely until further notice. We’re working to restore links that aren’t susceptible to this vulnerability over the next few days.
- In the meantime, as a workaround, you can re-create any shared links that have been turned off.
- For all shared links created going forward, we’ve patched the vulnerability.
- Additionally, if you’re a Dropbox for Business customer, you have the option to restrict shared link access to people in your Dropbox for Business team. Links created with those access controls were not affected.
Alles, was gerade wirklich überraschend ist: Warum ist man bei Dropbox nicht früher auf dieses eigentlich offensichtliche Problem aufmerksam geworden?