1

デフォルト設定でバケットを作成すると、バケット名を知っている人なら誰でもファイルの存在を確認できることに気付きました。

例:

誰かが URL https://storage.googleapis.com/bucket_name/file_nameを試します

ファイルが存在しない場合、表示されるメッセージは「指定されたキーが存在しません」です。

ファイルが存在する場合、メッセージは「匿名の呼び出し元には storage.objects.get アクセス権がありません。オブジェクトのbucket_name/file_name」です。

これにより、バケットに保存されているファイル名を簡単に見つけることができるため、バケット コンテンツのプライバシーは完全ではありません。

また、どちらの場合も「アクセスが拒否されました」というメッセージが表示される S3 ストレージを使用しているため、ファイルが実際にそこにあるかどうかを知る方法はありません。

この動作を無効にする方法はありますか?

ありがとう

4

1 に答える 1

0

申し訳ありませんが、現在、両方のケースで「アクセスが拒否されました」を取得する方法はありません。

これが存在したとしても、オブジェクトが存在するかどうかを判断するタイミング攻撃を必ずしも防止できないことに注意してください。そのため、機密データをオブジェクト名に格納しないこと、およびオブジェクトの存在がビジネス上のリスクになると判断した場合は、オブジェクト名を難読化することをお勧めします。

于 2016-04-11T19:22:13.057 に答える