2010年6月7日月曜日

Googleドキュメントで他のユーザーを招待する場合のセキュリティ

Googleドキュメント(Google Docs)で他のユーザーを招待すると、招待用のURLが記載されたメールが送られる。
実はこのURLにアクセスすると、招待されたユーザー以外でもそのページにアクセスすることができる

この件については下記が詳しい。

高木浩光@自宅の日記 - Googleドキュメントの「招待メール」の危険

上記記事が書かれた時からの変更点として、現在は招待用URLからGoogleドキュメントにアクセスする前にGoogleアカウントでのログインが求められるため、Googleアカウントを持っていないユーザーはアクセスできなくなった。

しかし、招待用URLさえ分かれば、Googleアカウントを持っているユーザーなら誰でもアクセスできてしまうことに変わりはない。

(参考:そのドキュメントに誰も招待していなければ、招待用URL自体が作成されないので他のユーザーはアクセスできない。)



以上がデフォルト設定の場合の話。

Googleドキュメントではオプション設定により、アクセスできるユーザーを招待した人だけに限定することができる。

共有ボタンから「他の人と共有」ダイアログを表示させて、下記のように「権限オプション」タブを見ると、「招待状の転送を許可する」というチェックボックスがある。



デフォルトではチェックが付いているので、転送してもらった人でもアクセス可能、つまりURLさえ分かればアクセス可能になる。
このチェックを外して保存すれば、アクセスできるのは招待されたユーザーのみになる



この設定はなかなか分かりにくいので、Googleさんは「許可しない」をデフォルトにした方がいいと思う。あるいは、ユーザーごとの設定でデフォルトを決められるようにするか。

0 件のコメント:

ブログ アーカイブ

tags