如何禁用谷歌雲存儲中每個人的文件名檢查

Question

我意識到，在創建具有默認設置的存儲桶後，任何知道存儲桶名稱的人都可以檢查文件的存在。

實施例：

有人試圖鏈接https://storage.googleapis.com/bucket_name/file_name

如果該文件不存在示出的消息是「指定的密鑰不存在」

如果文件不存在的消息是「匿名來電者沒有storage.objects.get訪問對象的存儲桶名稱/文件名」

這使得發現存儲在存儲桶中的文件名變得容易，因此存儲桶內容的隱私不完整。

我也使用S3存儲，在這兩種情況下消息都是「拒絕訪問」，因此無法知道文件是否真的存在。

有什麼辦法可以禁用這種行爲嗎？

感謝

Answer 1

很抱歉，但目前還沒有什麼辦法讓「拒絕訪問」兩種情況。

請注意，即使這確實存在，它也不一定會阻止定時攻擊來確定對象是否存在。因此，建議您不要將敏感數據存儲在對象名稱中，並且如果確定其存在對您的業務有風險，則對對象名稱進行混淆。