Ascoltare MP3 senza scaricarli

Google Mail ha qualche tempo fa inserito nella propria interfaccia web la possibilità di visualizzare direttamente video da youtube. Ricevendo un file mp3 mi sono accorto che anche quest’ultimo era ascoltabile dallo stesso player.

Ecco quindi che, incuriosito, ho dato un occhio all’url che caricava il file e mi sono accorto che quest’ultima permette di caricare anche file esterni alla propria casella di posta.

L’url incriminata è http://mail.google.com/mail/html/audio.swf?audioUrl=http://url.to/file.mp3 dove ovviamente sarà possibile indicare qualsiasi fonte esterna di dati.

Buon ascolto

ciuaz

  • Mmmm, estremamente interessante! Ora ci provo.

  • Una curiosità: a che ti serve passare attraverso google per ascoltare un file mp3? Non puoi semplicemente digitare l’url sul browser?

  • ehhehe non se sei su un computer azienda (non tuo) e blindato ma che permette l’accesso a gmail…

  • @fullo: ok, hai un buon motivo. ;-)

  • Beh a rigor di logica.. non è il server di google che scarica l’mp3, ma il PC stesso dove viene visualizzato il filmato, ergo non cambia niente a livello di firewall aziendale. A meno che il filmato flash non si appoggia ad una pagina che faccia da proxy web, così se il firewall controlla l’estensione del file e non il contenuto si riesce a bypassare il firewall. Solo che in questo caso il proxy web potrebbe esser una fonte di attacco e bisogna vedere se nella funzione che permette di leggere il file dall’esterno non ci sia qlc che sia “exploitabile” (magari salva il file da qlc parte.. in questo caso se gli si passa un file php e lui lo salva in qlc punto raggiungibile dalla rete.. e la folder dove è stato messo il file permette l’esecuzione degli script php, il server sarebbe bucabile).

    Ma sono solo delle mie seghe mentali in realtà il filmato flash alla fine scarica direttamente il file mp3 e quindi non cambia niente rispetto a digitare l’url direttamente sul browser :P

%d bloggers like this: