今日、私は面白いサイトRaindrop.ioについて学びました。 すでに彼のことを聞いている人もいると思うので、知らない人に説明します。 このサービスは、Pocketに類似したスマートブックマークリポジトリですが、その使用が私たちが望むほど安全ではないことを知っている人はあまりいません。
開発者からの説明:
Raindropは、ページのタイプに応じて、ブックマークだけでなく関連するコンテンツも保存します。 これが記事の場合は、ブックマークとともに切り取られて保存されます。 ビデオ、写真、プレゼンテーションでも同じことが言えます。 したがって、異なるコンテンツでテーマ別コレクションを整理できます。
率直に言って、このサービスに興味がありました。 それは絶対に無料で、Android用のアプリケーション、ブラウザ拡張機能、使いやすく便利です。 確かに、すべてが一見見た目ほどクールではありません。 多くの利点の中でも、非常に脆弱な「BUT」が1つあります。
サービスの機能を表面的に調べたところ、非常に興味深い機能に出会いました。 各ユーザーのすべてのブックマークはRSSの形式で取得できます。そのためには、raindrop.io / feeds {key}という形式の一意のURLを知るだけで済みます。
ここで、{key}は、大文字と小文字が異なる6文字のシーケンスです。
少し考えずに、適切なキーを選択して、誰かのブックマークを取得しようとすることにしました。 手動検索の数分後、キーが正しい場合、ユーザーフィードを含むページが表示されることがわかりました。そうでない場合は、「key invalid!」というメッセージとエラー404が表示されます。 基本的なタスクは約5分で解決され、C#の単純なコンソールプログラムは既に他の人のブックマークのリポジトリから大切なキーを探していて、ファイルに注意深く保存していました。
キーの最初の4文字を使用し、残りを偶然に任せても、5分以内に20を超える一意のキーが検出されたことに注意してください。 さらに5分間待機した後、さらに15個のキーが見つかりました。
サーバーが要求をブロックしなかったことも重要です。要求はすべて同じIPからのものであり、遅延なくサイトに送信されました。
道徳:特定の製品を使用するために開発者が実装したすべての機能がユーザーデータに対して安全であるとは限りません。
ご清聴ありがとうございました! 新しいプロジェクトを開発するときは注意してください。