Google Picasa 網路相簿的小漏洞?!
發表於 | 2.09.2011 | 無回應
Google 的使用者除了所謂的帳號名稱外, 還有一組所謂的 ID, 就像身份證字號一樣
而相簿都會產生一個 feed 供其他使用者訂閱
如果相簿內若設有供"擁有連結的使用者"或"私人"瀏覽的目錄
則不會出現在公開相簿的網頁列表中
此時... 直接輸入"那個" feed 的網址, 修改目標使用者的 ID 後
會列出該相簿內"所有"的目錄名稱, 封面及連結
而且不需登入... 讀取相簿的 feed 沒有認證及權限的檢查
feed 產生時, Google 會自動把檢查權限的 authkey 附上... 等於送了把鑰匙!
如果要替 Google 解釋的話
應該說: 所謂的"擁有連結的使用者"或"私人"只是"程度"上的分類
並非嚴格的定義權限
建立迴響