Flickr'ın “orijinal görüntünün indirilmesini devre dışı bırak” özelliği ne kadar güvenli?


17

In Flickr gizlilik ayarları sayfasında başlıklı bir ayar var "orijinal görüntü dosyalarını erişebilir?". Bunu "Herkes" dışında herhangi bir şeye ayarlarsam (örn. "Yalnızca siz" veya "Kişileriniz"), yetkisiz bir kullanıcının orijinal görüntüye URL'si vermeden erişmesine izin verilebilir mi? (Orijinal fotoğrafımın 1024 pikselden daha büyük olduğunu varsayalım, bu nedenle Büyük sürümden farklı bir Orijinal sürüm var. Ayrıca Creative Commons lisanslı olmadığını varsayın .)

Bir görüntü tarayıcılarında göründüğünde, kararlı bir kullanıcının tarayıcının yoluna koymaya çalıştığı herhangi bir caydırıcıdan (örneğin JavaScript engelleyiciler) bağımsız olarak kolayca indirebileceğini biliyorum. Ancak, aşağıdakilerin doğru olduğuna inanıyorum:

  1. Yetkisiz bir kullanıcı Flickr'da Orijinal Boyut sayfasını görüntülemeye çalışırsa bir hata sayfası görür (ör. Bu sayfa ).

  2. Bu sayfanın URL'si kolayca tahmin edilebilir olsa da ( sizes/o/normal fotoğraf sayfası URL'sinin sonuna ekleyin), gerçek orijinal resim dosyasının URL'si rastgele bir bileşene sahiptir ve kolayca tahmin edilemez.

Orada bol ait insanlar Flickr'da ve başka yerlerde devre dışı indirme ayarı yararsız olduğunu söyleyerek, ancak herhangi bir kanıt görmedim. Herkes atlanabileceğini kesin olarak biliyor mu? Evet derseniz, bana en son resmimin orijinal boyutunu göndererek kanıtlamanızı bekleyeceğim ! (Sadece arkadaşlarınız ve aileniz için kullanılabilir olması gerekiyordu - bu yüzden siz değilsiniz, Goober Amca ...)

Bazı bağlamlar: Fotoğraf çalmak istemediğime dikkat çekmeliyim , özellikle bugün bildirilen bu coğrafi çitler boşlukla ilgili olarak benimki kadar güvenli olduğunu anlamaya çalışıyorum .


2
Lütfen bunun bir programlama sorusu olmadığını unutmayın: Nasıl yapılabileceğini sormuyorum . Bu bir fotoğraf sorusu: Resimlerimin Flickr'da güvenli olup olmadığını veya tam tersine kanıt olup olmadığını bilmek istiyorum.
Mark Whitaker

Görmemize izin verdiğiniz herhangi bir resmi indirebilirim, bu yüzden bir bloğu denemek oldukça işe yaramaz. Flickr'ı kesmek için zaman ayırmadan (ve hesabımı ve hapishaneyi riske atmadan), orijinalinizin izinsiz alınabileceğini söylemek özellikle kolay değildir.
John Cavan

@John Evet, ilk cümleniz doğru - sorumda da aynısını söyledim. Kimseden Flickr'ı hacklemesini istemiyorum, sadece orada bilinen bir güvenlik açığıyla ilgili haberleri görüp görmediğini merak ediyorum.
Mark Whitaker

@ Mark, güzel soru.
bw

Yanıtlar:


18

Kendi flickr hesabımı ve giriş yapmamış bir tarayıcıyı kullanarak kendi başıma biraz araştırma yaptım.

İşte fotoğraflarımdan biri için Tüm Boyutlar sayfası .

Benden önce "Orijinal görüntü dosyalarınıza kimler erişebilir?" Gizlilik ve İzinler bölümünde, genel bir İnternet kullanıcısı diğer boyutlara ek olarak " Orijinal " bağlantısını da görebilir . Bu sayfada bu URL'ye<img> bağlı bir etiket vardı . "Tüm Boyutlar" sayfasında , bu fotoğrafın Orijinal boyutunu indir yazan bir bağlantı da vardı . (URL'leri kontrol ederseniz , dosya adında bir sonek olduğunu unutmayın ; Flickr bunu görecek ve tarayıcıya görüntüyü görüntülemek yerine indirmesini söyleyen HTTP üstbilgisini tetikleyecektir)._d

Karşılaştırma için Büyük boyut sayfası ve karşılık gelen resim URL'si aşağıda verilmiştir .

Sonra gizlilik ayarını değiştirdim, giriş yapmayan tarayıcımdaki önbelleği temizledim ve bağlantıları yeniden düzenledim. İşte bulduğum:

  • Orijinal boyut sayfaya link şimdi yönlendirir büyük boy sayfa . Bu makul.
  • Tüm Boyutlar sayfasında artık beklendiği gibi Orijinal boyut bağlantıları yoktu.
  • Orijinal boyuttaki resmi hala indirebildim
    • Bu biraz şaşırtıcı. Bu, görüntüleri içeren sayfalarda erişim kısıtlamaları olsa da , görüntülerin kendisinde güvenlik olmadığı anlamına gelir .
    • Bir web geliştiricisi olarak bunu neden yaptığını anlayabiliyorum. Görüntüler büyük ve statiktir ve muhtemelen bir içerik dağıtım ağı üzerinden sunulur. Görüntü dosyaları için izinleri kontrol etmemek daha hızlı / daha verimlidir; bunları "aptal" bir web sunucusunda bu şekilde barındırabilirsiniz.

Bu nedenle, orijinal dosyanın URL'si bir kez bilindiğinde, birisinin dosyanın orijinal sürümünü indirmesini engellemenin bir yolu yoktur (tamamen silmekten yoksun ... ve bu işe yaramayabilir. Denemedim).

Son bir sorun: orijinal dosya URL'leri ne kadar tahmin edilebilir? İşte yan yana:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

Böylece, sonek ( _bveya _o) boyutu belirler, ancak dosya adında boyuta bağlı olarak değişen başka bir öğe de vardır. Sonekleri yalnızca boyut çevirme olarak değiştiremezsiniz. İşte anahtarlı sonek ile Büyük sürümünün URL'si için _o; çalışmıyor.

Flickr olsaydım, bu orta elementin fotoğraf boyutu başına tamamen rastgele olduğundan ve kaba kuvvet saldırısı dışında tahmin edilemez olduğundan emin olurdum. 40 bit uzunluğunda, bu yüzden çok fazla seçenek var (2 ^ 40, ~ 1 Trilyon). Bu çok olası kimse onlar zaten varken segmenti sadece ... Bir dosyanın orijinal boyut sürümünü almak için o kaba kuvvete rahatsız olur bulunuyor büyük versiyonu.

Bu nedenle, "Orijinal dosya indirme" özelliğini kapattığınız ve orijinal görüntülerin URL'lerini paylaşmadığınız sürece Flickr özelliğinin oldukça güvenli olduğunu söyleyebilirim. Eğer kırılırsa, hemen hemen kendi hatanızdır.


6
"Bu senin kendi hatan" sonucumun bir istisnası var. @Imre'in belirttiği gibi, Flickr genellikle güvenli olmayan HTTP bağlantıları kullanır; bu, tarayıcınız ve Flickr (şirketiniz, İSS'niz) arasındaki herkesin URL'lerinizi dinleyebileceği anlamına gelir. Orijinal Boyut sayfasına göz atarsanız, orijinal boyutlu resim URL'sini alırsınız; bir saldırgan bunu koklayabilir ve URL'yi kaydedebilir. Ancak, birisi HTTP trafiğinizi dinliyorsa, IMO, Flickr orijinallerinizi güvende tutmaktan daha büyük sorunlarınız var.
Craig Walker

Bağlantıları sağladığınız için teşekkürler, şimdi önbellek başlıklarını doğrulayabildim!
Imre

2
Orijinal Boyut sayfanıza bile göz atmanıza gerek yoktur; Flickr'da herhangi bir şeye göz atın ve sniffer az önce kullandığınız oturum çerezi ile kendisine yardımcı olabilir.
Imre

2
Bu harika bir cevap: Analitik yaklaşımınız ve net açıklamalarınız için +1. Orijinal resim URL'sinin kimliği doğrulanmadığını biliyordum (yani URL'ye sahip olan herkes tarafından kullanılabilir) - bu sorumu ima etti (" birisi URL'sini vermeden hala mümkün [...] ? ") Ama teşekkürler açıkça belirtmek. :)
Mark Whitaker

@ Mark Whitaker: Çok hoş geldiniz. Ben URL'sini arasındaki farkı gidermek yapmak istiyorum did görüntünün ve URL'sini sayfası biri özellikle ... imajını içerdiği yapar ekli izinlere sahip.
Craig Walker

3

Bu sayfa ( fatura dokumacısının gönderdiği Firefox eklentisinden bağlantıyla ), soruda bahsettiğim resim URL'sindeki "rastgele bileşen" de dahil olmak üzere durumu özetlemek için iyi bir iş çıkarır .

Yazar şunları not eder:

Bu, daha küçük boyutlardan biri için dosya adını alma zahmetine girseniz bile , orijinal fotoğrafın dosya adını tahmin edemeyeceğiniz anlamına gelir ve bu, resim hırsızlığı konusunda endişe duyan fotoğrafçılar için harika bir haberdir.

"Tahmin edemiyorum" - harika! :) Ama sonra söylemeye devam ediyor:

Harika olan şey, Flickr'ın dosya adlarını rastgele hale getirmesinden sonra, bir dosyanın orijinal boyutu için URL'yi tahmin etmenin imkansız hale gelmesiydi .

" Yanında imkansız" - kadar büyük değil! :( Ama sanırım o yeterli zaman ve işlem gücü verildiğinde onu kaba kuvvet saldırısıyla kırabileceğiniz anlamına geliyor . Öyleyse, bu benim için yeterince iyi: Bu olasılıkları alacağım. :)


2
Gönderdiğiniz tek bir görüntüye kaba kuvvet saldırısından endişe etmem (buna değmezler demek değildir :). En büyük endişe (en azından benim için) başka bir delik bulunması durumunda, flickr'deki bir kişi bir hata yapar ve yanlış kol üzerine eğilir veya politikalarını değiştirir (kalbin değişmesi, başkalarının sahip olduğu bir kazanım nedeniyle) fikirler, vb.).
bw

2
imkansızın yanında muhtemelen kesinlikle imkansız olmadığı düşünülmelidir, ancak rastgele sayı üretecini kırmak, rastgele genin kendisinde ciddi bir kusur gerektirir (imkansız değil, maalesef Debian ile benzer bir şey oldu, bkz. debian.org/security/ 2008 / dsa-1571 ), muhtemelen süreçte flickr sunucusunun şüpheli olarak algılaması gereken göze çarpan sayıda tahmin gerektirir.
Francesco

Şimdi ödüllendirme çabası / riski alanındasınız ve Flickr'da riski garanti edecek çok şey olduğundan şüpheliyim. Bu bir görüntü kalitesi değerlendirmesi değildir, sadece görüntüyü yeniden oluşturmanın daha az çaba ve çok daha az risk olabileceğini değerlendirir. Reklam endüstrisi tarafından da yapıldı.
John Cavan

3

Flickr varsayılan olarak güvenli olmayan web protokolü (HTTP) kullanır, böylece bunlara erişebilen bir kişiden oturum ele geçirme gerçekleştirildikten sonra herhangi bir görüntüye erişilebilir. Oturumun ele geçirilmesi için, saldırganın mağdurun ağ trafiğini dinleyebilmesi gerekir; örneğin, aynı kablosuz erişim noktasına veya bir ara ağ düğümüne erişerek. Firesheep yayınlandıktan sonra halka açık kablosuz noktalarda risk oldukça önemli hale geldi - diğer insanların aynı kablosuz alanda kullandığı çerezleri otomatik olarak alan ve kolay kullanım için sunan bir Firefox eklentisi.

Ayrıca, görüntüler ara web önbelleklerini yıllarca saklamak için izin veren başlıklar ile birlikte gelir. Bu nedenle, bir web önbelleğine göz atmak için erişim elde etmek, o önbellekten görüntülenen orijinal görüntülere de erişim sağlayabilir.

Sizin veya arkadaşlarınızın ağ bağlantısını veya önbelleklerini takip etmeyeceğim, bu yüzden hayır, size orijinal görüntünüzü göndermeyeceğim. Ancak güvenli oynamak için en iyi seçeneğiniz orijinal görüntüler yüklemek değildir.


4
Photo.SE ayrıca HTTP kullanıyor, bu yüzden bu yazı benden başka biri tarafından yazılmış olabilir :)
Imre

2

Görüntülenirse, elbette kaydedebilirsiniz. Orijinaller korunuyorsa URL bilinmedikçe değiştirilmez. Alt satırda oldukça güvenli ve hayır ben indirilebilir olduğunu sanmıyorum.

Flickr-orijinal firefox eklentisi (i pasif böylece farz) bunun için ilk başta görünüyor, ancak kamu inceleyen adresinin orijinalleri korunan ettiyseniz aslında büyük boyutunu indirir. Bu eklenti ile fotoğrafınızın 1024 x 580 sürümünü indirdim.


Orijinal izin vermeyecek şekilde ayarlanmışsa değil. URL hilesi kaldırıldı, sizi şu anda mevcut olan en büyük değere döndürüyor. Eklenti yazarı da bunu söylüyor.
John Cavan

1
Hmmm ... evet, haklısın, @John. Ben eklenti adında sadece "orijinal" değerlendirerek "iddia" dedim. :)
bw

@bill 1200px boyutunda orijinal bir resim indirdiniz mi? Ben öyle düşünmüyorum: bağlantı verdiğiniz sayfa " Uyarılar: Bu, fotoğrafçının 'Tüm Hakları Saklıdır' olarak işaretlediği veya indirmeyi devre dışı bıraktığı resimler üzerinde çalışmaz. 1024px geniş bir sürümüne sahip olmanıza izin vermiş olabilir, ancak soru çok özel olarak Orijinal boyut ile ilgilidir.
Mark Whitaker

1
@ Mark, dediğim gibi 1024 x 580 görüntüsünü indirdim. Belki silahı atladım ve bir cevapta ilk geçişim bunu söylemedi. Ama evet, 1024 indirdiği şey.
bw

1
Öyle görünüyor, evet. :) Anlayabildiğim kadarıyla flickr, bir görüntünün sahipliğini oldukça ciddiye alır ve paylaşım, kamu erişimi ve haklarınız arasındaki ince çizgiyi dikkatlice yürür. Bu konuda görüşler farklıdır ve hata yaparlar, ama bu benim genel yaklaşımım. Öte yandan, ben yüklemek için bu yeterli güvenmiyorum benim orijinal görüntüler.
bw

-1

Firefox eklentisi Tamperdata, görüntü için korumalı URL'nin bulunmasına izin verecektir. Bunu yapmak önemsizdir. Tek güvenlik katmanı belirsiz görünüyor.


3
Gerçekten mi? Bu görüntünün Orijinal (2400x1600) boyutunda sürümünü indirerek kanıtlayabilir misiniz ? Soruyu tam olarak okumadığınızdan şüpheleniyorum.
Mark Whitaker

-3

İşte bunu yapmanın kolay yolu (Safari kullanarak), orada attığınız tüm jargon olmadan. Tüm resimler sayfasına gidin. Geliştirme açılır menünüzü etkinleştirdikten sonra Web Denetçisini Göster'e gidin. Geliştirici penceresinin sol tarafında, resim açılır menüsüne bakın. Bunu tıklayın ve uzun numaralı dizeyi arayın. Bunu tıkladığınızda, görüntü geliştirici penceresinde görünecektir. En sağda resim URL'sini göreceksiniz. URL'yi kopyalayıp yeni bir tarayıcı penceresine yapıştırın ve görüntü belirir ve buradan indirilebilir. VEYA görüntüyü geliştirici penceresinden sürükleyin. (Büyük olasılıkla adı Bilinmiyor olarak değiştirilecektir.

Metodolojimin Ekran Görüntüsü


3
Soruyu yanlış okudunuz veya sorunu yanlış anladınız. Ben açıkça ifade "Ben bir görüntü tarayıcılarında göründü sonra, kararlı bir kullanıcı kolayca indirebilirsiniz farkında değilim" . Orijinal'i değil, yalnızca Büyük boyutu indirdiniz. Soruyu tekrar okumayı deneyin ve eminim ne istediğimi göreceksiniz. Ne yazık ki sizin için "jargon" bir nedeni var!
Mark Whitaker
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.