如何禁用 google 云存储中所有人的文件名检查
How to disable file name checking from everyone in google cloud storage
我意识到在使用默认设置创建存储桶后,任何知道存储桶名称的人都可以检查文件是否存在。
示例:
有人尝试 url https://storage.googleapis.com/bucket_name/file_name
如果文件不存在,则显示的消息为 "The specified key does not exist"
如果文件确实存在,则消息为 "Anonymous callers do not have storage.objects.get access to object bucket_name/file_name"
这使得存储在桶中的文件名很容易被发现,因此,桶内容的隐私是不完整的。
对于这两种情况,我还使用 S3 存储,其中消息是 "Access denied",因此无法知道文件是否真的存在。
有什么方法可以禁用此行为吗?
谢谢
抱歉,对于这两种情况,目前都没有办法获得 "access denied"。
请注意,即使这确实存在,也不一定能阻止定时攻击确定对象是否存在。因此,建议您不要在对象名称中存储敏感数据,并且如果确定对象名称的存在会给您的业务带来风险,请混淆对象名称。
我意识到在使用默认设置创建存储桶后,任何知道存储桶名称的人都可以检查文件是否存在。
示例:
有人尝试 url https://storage.googleapis.com/bucket_name/file_name
如果文件不存在,则显示的消息为 "The specified key does not exist"
如果文件确实存在,则消息为 "Anonymous callers do not have storage.objects.get access to object bucket_name/file_name"
这使得存储在桶中的文件名很容易被发现,因此,桶内容的隐私是不完整的。
对于这两种情况,我还使用 S3 存储,其中消息是 "Access denied",因此无法知道文件是否真的存在。
有什么方法可以禁用此行为吗?
谢谢
抱歉,对于这两种情况,目前都没有办法获得 "access denied"。
请注意,即使这确实存在,也不一定能阻止定时攻击确定对象是否存在。因此,建议您不要在对象名称中存储敏感数据,并且如果确定对象名称的存在会给您的业务带来风险,请混淆对象名称。