セキュリティエンジニアは、ドキュメントコラボレーションツールであるDropbox Paperの機能が設計上、電子メールアドレスを漏洩すると訴えている。
Koen Rouwhhorst 氏は Twitter で、「Dropbox Paper ドキュメントを公開すると、そのドキュメントを開いたことのある Dropbox ユーザーのフルネームとメール アドレスを誰でも見ることができるため、問題があるようです」と述べています。
Dropboxのサポートは、「プライバシーへの配慮は当社の機能の設計に組み込まれている」と主張しつつ、「この情報を表示することは、ユーザーのためのコラボレーション機能とセキュリティ機能を有効にするために必要である」と回答した。
Regはこの機能を注意深く検証しました。Dropbox Paperでドキュメントを作成すると、書き込み権限があってもデフォルトで共有されるようですが、それは相手がURL(適度に長く、暗号化されている)を知っている場合に限られます。
Dropbox Paper ドキュメントはデフォルトで読み取り/書き込み共有されます
さて、もし誰かがリンクを知ったとしたら、例えばあなたが熱意に駆られてソーシャルメディアに投稿したり、連絡先に送ってその人も投稿したりしたため、その人はリンクをクリックしてページにアクセスするかもしれません。そのページにアクセスした人がDropboxにログインしている場合は、薄い文字で「ドキュメントを開くと、あなたの名前、メールアドレス、アバター写真、閲覧者情報、訪問情報が常に他のユーザーに表示されます」という警告が表示されます。
Dropboxはアクティブな閲覧者と非アクティブな閲覧者を区別しますが、その情報はページを離れた後も保持されます。ドキュメントにログインしている他のユーザーは、他のユーザー全員の名前とメールアドレスを見ることができます。
一方、Dropbox にログインせずにリンクをクリックすると、ドキュメントは表示されますが、他のユーザーにはゲストとして表示され、ドキュメントにコメントしたり編集したりすることはできません。
ユーザーはデフォルトでDropboxにログインしている可能性が高いため、警告が表示され、続行すると名前とメールアドレスが共有される可能性があります。これは、メンバーが互いに知り合いであるチームであれば問題ありませんが、Dropbox Paperをブログやウェブサイトのように使用し、世界中の人々に閲覧してもらうには不適切です。
賢明な行動をとる責任はユーザーにあります。
Dropbox CEO: あなたの仕事生活をより穏やかなものにします
続きを読む
Dropbox は警告の明確さについては正しいが、マジック リンクを介して設定をデフォルトで読み取り/書き込み可能にすることは、セキュリティの観点からは間違っているように思われます。
この機能のもう 1 つの問題は、チームのメンバーの 1 人がマジック リンクを漏らした場合、そのドキュメントにアクセスしたすべてのユーザーの名前と電子メール アドレスが、ログインしている他の訪問者に表示されることです。
幸いなことに、Dropbox Paper は私たちの知る限りではまだ普及していません。
これは、Dropboxなどのウェブサイトからセッションごとにログアウトする良い理由の一つかもしれません(不便ではありますが)。また、Dropbox Paperをご利用の場合は、「このドキュメントに招待されたユーザー」設定の方がはるかに安全だと思われます。®
