6月10日、ライセウムで、科学作品の防衛のために働いています。 あまり時間がないので、ライセウムの学生の作品を見たことはまだありません。 彼らは私をドロップボックスから追い出します。 デブリーフィング中に、次のことが明らかになりました。
1)生徒から、Dropboxに登録されている間違ったメールアドレスとフォルダを共有するリクエストが送信されました。 このメールにはDropboxがまったく登録されていません。
2)リンクをクリックすると、dropboxはファイルを表示するために登録することを提案します。 もちろん、これはしたくありません。すでにアカウントがあります。
3)認証とアドレスバーへのリンクを駆動した後、まるでライセウムの学生がメールに間違いを犯していないかのように、このフォルダーにアクセスできます。
4)手紙のリンクをたどろうとすると、「その招待は既に受け入れられています。」と表示されます。
明らかに、これは潜在的な脆弱性です。 メールへのサードパーティのアクセスまたは一般的なタイプミスにより、ファイルの機密性が失われる可能性があります。
開発者は正しいことをしたと思いますか? 他のメールからのデータへのアクセスを禁止する必要がありますか? 利便性を犠牲にして安全性は犠牲になりましたか?
私の意見-
ユーザーがそれを決めることができます 。
