Как получить прямой url к файлу, загруженному на gogole disk
Мне нужно получить прямую ссылку на файл, который загружен на Google Disk, но проблема в том, что я нигде не могу такой ссылки получить, Гугл Диск выдает только ссылки на файл внутри своего окружения, то есть я получаю ссылку на гугл диск директорию, в которой лежит мой файл (если вы понимаете о чем я).
Задача — получить прямой url к файлу, загруженному на google disk
Например, у нас есть файл, публичная ссылка для которого:
https://drive.google.com/file/d/1HfUzgQKQ0-82587c9WbvQIJWUIHH3rq_/view
В этом урле 1HfUzgQKQ0-82587c9WbvQIJWUIHH3rq_ — это FILE-ID, копируем его и вставляем в такой шаблон:
https://docs.google.com/uc?id=FILE-ID
Получаем такой урл, который будет сокращенной ссылкой на наш файл:
https://docs.google.com/uc?id=1HfUzgQKQ0-82587c9WbvQIJWUIHH3rq_
При переходе по урлу выше, мы получим редирект на распакованную ссылку на файл, но эту ссылку лучше не использовать, потому что она временная:
https://doc-0o-1c-docs.googleusercontent.com/docs/securesc/nnbgfj1633ng0if00e1ogkvpblbvlnda/rvu3br849lat85eni2lkadmbjskv9keg/1543413600000/13857934362328443660/17013670910803495986/1HfUzgQKQ0-82587c9WbvQIJWUIHH3rq_?nonce=vhqvl4oc1c7rs&user=17013670910803495986&hash=dlg20jhthgmol8j57b8l9213ph8k0ik5
Этот url картинки получается временный, так что для постоянного использования не годится.
А это картинка, у которой src указан с гугл-диска с короткой ссылкой:
В данном случае мне это нужно было, чтобы быстро загрузить svg-файл и использовать его на другом сервере, на котором я не могу загружать картинки.
Задача №2 — получить прямой url к музыкальному файлу, загруженному на google disk
В общем, никакой разницы нету, все делается так же как и с картинкой.
Например, у нас есть аудио-файл, публичная ссылка для которого:
https://drive.google.com/open?id=1syzEijnqHn8hHIWIFaqcJXp9X4OPB-YZ
В этой ссылке FILE-ID это — 1syzEijnqHn8hHIWIFaqcJXp9X4OPB-YZ , копируем его и вставляем в такой шаблон:
https://docs.google.com/uc?id=FILE-ID
Получаем такой урл, который будет сокращенной ссылкой на наш файл:
https://docs.google.com/uc?id=1syzEijnqHn8hHIWIFaqcJXp9X4OPB-YZ
Только встроенный в WordPress плеер не воспроизведет ссылку на аудио, в которой не указано расширение файла (.mp3) по типу https://docs.google.com/uc?id=1syzEijnqHn8hHIWIFaqcJXp9X4OPB-YZ .
Но это можно решить с помощью тега
Получаем аудиозапись с Гугл Диска:
Задача — сделать для отдельного блока на странице размытый фон, Вариант первый — используем две…
Самый популярный плагин для карусели на jQuery — Owl Carousel 2. Все функции — https://owlcarousel2.github.io/OwlCarousel2/docs/api-options.html…
При верстке писем нужно учитывать, что существует большое количество различных почтовых клиентов и у многих…
Когда-то давно были задачи по наполнению новосозданного сайта текстами. Несмотря на то, что я просил…
Как мошенники ищут жертв с помощью гугл-документов
Представьте, что вам на почту пришло уведомление от «Гугла»: кто-то предоставил вам доступ к документу.
Это может быть, к примеру, презентация под названием «Вам пришли деньги», «Новое пополнение счета» или «Заберите свой миллион». Автор документа — известный банк или брокер.
Конечно, опытный пользователь интернета в спокойном состоянии сразу поймет, что его хотят обмануть. Но все-таки имя банка и домен google.com придают таким письмам определенную достоверность, поэтому я решила разобраться, что скрывается за схемой. Оказалось, если открыть письмо и перейти по ссылке, можно потерять очень много денег.
Я получила уведомление, что мне предоставили доступ к документу «Новое пополнение от TINKOFF INVEST». Обычно я удаляю такие письма, но в этот раз решила разобраться, чего добиваются спамеры
Что будет, если открыть письмо и перейти по ссылке
Ссылка привела меня на самый настоящий сайт «Гугла». В документе, оформленном в фирменных цветах Тинькофф, оказалась всего одна страница — с текстом «Начните зарабатывать до 150 000 ₽» и кнопкой «Начать зарабатывать».
Я ожидала, что она сразу переправит меня на какой-нибудь мошеннический сайт, но в углу всего лишь стыдливо вылезла небольшая гиперссылка, на которую пришлось нажимать отдельно. Недочет в схеме мошенников: так становится виден адрес сайта, на который предлагается перейти, и это не tinkoff.ru.
Ссылка из письма привела на одностраничную презентацию в настоящем облаке «Гугла». Но это ничего не значит: кто угодно может создать там документ с любым содержанием и сформировать ссылку, чтобы поделиться доступом с другим человеком
По ссылке из презентации наконец-то открылся сайт мошенников — и мне предложили пройти «официальный тест от Тинькофф», чтобы зарабатывать в Тинькофф Инвестициях. Бывает, что настоящие брокеры тоже рекламируют свои услуги с помощью тестов, но этот сайт явно не был похож на официальный: в глаза сразу бросился размытый логотип Тинькофф, а в тексте была куча ошибок.
Сам тест сделан для отвода глаз: мне задали несколько личных вопросов, поинтересовались опытом инвестирования и спросили, что значат некоторые инвестиционные термины. Я специально отвечала неправильно, но тест все равно прошла.
Меня поздравили с тем, что я получила «доступ к проекту». От солидного заработка отделяла лишь небольшая формальность: нужно было оставить контактные данные, чтобы со мной связался «специалист» и рассказал обо всех возможностях платформы. Здесь я остановилась.
Загружаем и храним в Google Drive файлы любого размера бесплатно. Баг или Фича?
Недавно я нашел странную особенность в Google Drive. Определенная последовательность действий в Google Drive веб интерфейсе приводит к тому, что каждый может загрузить файлы любого объема в свою учетную запись и при этом не потратить ни одного байта на их хранение.
Конечно, я сразу решил сообщить об этом в Google через программу BugHunter. Но, к моему сожалению, потратив неделю на общение со специалистами Google мне так и не удалось убедить их, что это баг. Сотрудник не смог воспроизвести этот баг и я получил ответ, что «это не баг, а фича» и меня отправили в RTFM. В конце концов Google просто закрыл тикет и перестал отвечать на мои письма.
Так как переписка с Google зашла в тупик, я решил публично рассказать о этой «фиче» и, возможно, наконец привлечь внимание сотрудников Google к этой проблеме или хотя-бы понять, что я делаю не так. Ниже под катом история переписки с Google и proof of concept.
Вот отчет, который я отправил в Google.
Summary: Service abuse: Free unlimited file storage, space counting error
Steps to reproduce:
- Create a new google drive account
- File «Getting started» appeared
- Right click on the file, click on «Manage Versions»
- Upload any amount of files as a new version of «Getting started», no space counting, even with «keep forever» checked for that file.
Any regular user can do that with google drive user interface or experienced user via google drive api. A user can upload unlimited amount of files without any payments and store files forever for free.
Как ясно из текста, чтобы воспроизвести проблему, необходимо создать новую учетную запись. После чего перейти в google drive и найти файл «Getting started», который создается автоматически в каждом новом аккаунте.
Первое, что мне сразу бросилось в глаза, что размер этого файла 1MB, но занимает он 0 байт.
Это было странно, так как PDF это не нативный формат хранения Google Drive и должен использовать общий лимит. Было понятно, что сервис каким-то образом исключает этот файл из списка на подсчет места. Простое копирование файла приводило к тому, что файл начинал весить реальный мегабайт.
Однако, как оказалось, если вместо копирования файла просто загружать новую версию, то эта новая версия все равно будет занимать 0 байт.
Перед тем как опубликовать эту статью, я повторил эксперимент с новой учетной записью и без всяких проблем успешно загрузил 17GB в аккаунт с лимитом 15GB.
В Google Drive можно выбрать опцию «сохранять все версии», я проверил, если ее выбрать, то все версии файла сохраняются и не тратят лимит места.
Таким образом, путем нехитрых ухищрений можно хранить сколько угодно файлов любого размера в Google Drive.
К сожалению, сотрудник Google не смог воспроизвести эту проблему и попросил меня сделать видео:
We’re closing this bug, as you didn’t provide enough details for us to determine what the security issue you’re reporting. Feel free to update this report with additional details.
We tried to replicate it and wasn’t able to, if you think you were able to feel free to share a proof of concept in a video.
If you didn’t provide this yet, please include the reproduction steps (https://sites.google.com/site/bughunteruniversity/improve/help-us-reproduce-the-bug), an attack scenario (https://sites.google.com/site/bughunteruniversity/improve/writing-the-perfect-attack-scenario) and a short explanation why do you believe this is a technical security vulnerability.
Я сделал видео со своего тестового аккаунта в моем домене Google Apps с лимитом 15GB.
И через некоторое время получил вот такой ответ:
Thanks for the POC, we noticed in the video you shared it is associated with Gsuite account visible on the right top of the video screen.
For more information on G suite storage limit please visit. support.google.com/a/answer/172541?hl=en
Your report is now *closed*
Thanks!
Google Trust & Safety
Дальнейшие мои попытки связаться с Google не увенчались успехом, я попробовал написать еще один комментарий, приложил еще раз видео с POC с обычного акаунта, но в ответ только тишина.
В заключение, хочу сказать, что я достаточно много участвовал в Yandex BugBounty и всегда получал отличную обратную связь по всем моим отправленным отчетам. К сожалению, в Google, на мой взгляд, очень странно относятся к таким сообщениям. Скорее всего, это моя первая и последняя попытка отправить информацию о баге в приложениях Google при такой обратной связи.
P.S. Ссылка на report, если на Хабре вдруг присутствуют сотрудники Google, возможно они смогут прояснить, что я сделал не так.
UPDATE 26.02.2020:
Сегодня баг переоткрыли. Всем спасибо!
Советы по устранению проблем со ссылками доступа
Информация, описанная в этой статье, относится ко всем пользователям Dropbox, если отдельно не указано иное.
Если ваша общая ссылка не работает или появляется ошибка 404, проверьте следующее:
Вы удалили файл или папку?
Общая ссылка не будет работать, если файл или папка были удалены. Ссылка доступа заработает снова, если вы восстановите удаленный файл или папку.
Вы удалили ссылку?
Если в открывшемся списке нужная ссылка не отображается, то, вероятно, вы ее удалили. Можно создать новую ссылку на нужный файл или папку.
Срок действия ссылки истек?
Пользователи аккаунтов Dropbox Professional, Essentials, Standard, Advanced, Business, Business Plus и Enterprise могут устанавливать для ссылок доступа срок действия, и этот срок, соответственно, может закончиться. В этом случае нужно будет создать новую ссылку доступа на файл или папку.
Файл находится в общей папке?
Если вы участник рабочей группы Dropbox, а файл, которым вы хотите поделиться, находится в общей папке, возможно, что владелец этой папки изменил настройки доступа таким образом, чтобы файлы были доступны только участникам рабочей группы. Ваш администратор также может запретить участникам делиться ссылками с пользователями не из рабочей группы.
Не удалили ли вас из аккаунта рабочей группы Dropbox?
- Удаляются все созданные вами общие ссылки с доступом только для чтения, если только они не являются ссылками на веб-файлы (например, документы Paper или Google документы).
- Все созданные вами общие ссылки с правом редактирования будут по-прежнему действовать.
Возможно, создатель ссылки покинул эту папку?
Общие ссылки привязаны к пользователю, который их создал. Это правило распространяется на все общие папки вне зависимости от того, находятся ли они в аккаунте рабочей группы или в личном аккаунте Dropbox. Если создатель ссылки покинет общую папку, ссылка перестанет работать. Чтобы восстановить работоспособность общих ссылок, необходимо вернуть создателя общих ссылок в общую папку.
Ваша ссылка была заблокирована?
Dropbox автоматически блокирует ссылки доступа, если они генерируют слишком много трафика или нарушают Политику допустимого использования (например, содержат спам или вредоносное ПО). Подробнее о заблокированных ссылках…
Вы перемотали свой аккаунт Dropbox?
Если вы недавно перемотали свой аккаунт Dropbox, то ваша ссылка доступа может начать себя вести не так, как положено. Мы рекомендуем сделать следующее:
- Перейдите на страницу Общего доступа.
- Нажмите Все файлы на боковой панели слева.
- Чтобы найти свой файл, можно также нажать на символ > (стрелка вправо) рядом с разделом Папки на боковой панели слева.
- Наведите курсор на название файла или папки, с которыми возникли проблемы, и нажмите на значок предоставления доступа (прямоугольник со стрелкой вверх).
- Нажмите на вкладку Настройки или значок шестеренки в правом верхнем углу.
- В зависимости от типа ссылки, которую необходимо удалить, нажмите Ссылка для редактирования или Ссылка для просмотра.
- Нажмите Удалить ссылку.
- Создайте новую ссылку доступа к файлу.
Ссылка доступа не открывается в вашем браузере?
Если ссылка доступа, на которую вы нажали, не открывается, возможно, проблема связана с браузером. Чтобы исправить такую ошибку, нужно выйти из своего аккаунта Dropbox и снова нажать на ссылку.
Ссылка по-прежнему не работает?
Если проблему с общей ссылкой решить не удалось, рекомендуем вам обратиться к пользователю, который ее создал, или связаться со службой поддержки, если ссылку создали вы.