Flickr'ın “orijinal görüntünün indirilmesini devre dışı bırak” özelliği ne kadar güvenli?

In Flickr gizlilik ayarları sayfasında başlıklı bir ayar var "orijinal görüntü dosyalarını erişebilir?". Bunu "Herkes" dışında herhangi bir şeye ayarlarsam (örn. "Yalnızca siz" veya "Kişileriniz"), yetkisiz bir kullanıcının orijinal görüntüye URL'si vermeden erişmesine izin verilebilir mi? (Orijinal fotoğrafımın 1024 pikselden daha büyük olduğunu varsayalım, bu nedenle Büyük sürümden farklı bir Orijinal sürüm var. Ayrıca Creative Commons lisanslı olmadığını varsayın .)

Bir görüntü tarayıcılarında göründüğünde, kararlı bir kullanıcının tarayıcının yoluna koymaya çalıştığı herhangi bir caydırıcıdan (örneğin JavaScript engelleyiciler) bağımsız olarak kolayca indirebileceğini biliyorum. Ancak, aşağıdakilerin doğru olduğuna inanıyorum:

1. Yetkisiz bir kullanıcı Flickr'da Orijinal Boyut sayfasını görüntülemeye çalışırsa bir hata sayfası görür (ör. Bu sayfa ).

2. Bu sayfanın URL'si kolayca tahmin edilebilir olsa da ( sizes/o/normal fotoğraf sayfası URL'sinin sonuna ekleyin), gerçek orijinal resim dosyasının URL'si rastgele bir bileşene sahiptir ve kolayca tahmin edilemez.

Orada bol ait insanlar Flickr'da ve başka yerlerde devre dışı indirme ayarı yararsız olduğunu söyleyerek, ancak herhangi bir kanıt görmedim. Herkes atlanabileceğini kesin olarak biliyor mu? Evet derseniz, bana en son resmimin orijinal boyutunu göndererek kanıtlamanızı bekleyeceğim ! (Sadece arkadaşlarınız ve aileniz için kullanılabilir olması gerekiyordu - bu yüzden siz değilsiniz, Goober Amca ...)

Bazı bağlamlar: Fotoğraf çalmak istemediğime dikkat çekmeliyim , özellikle bugün bildirilen bu coğrafi çitler boşlukla ilgili olarak benimki kadar güvenli olduğunu anlamaya çalışıyorum .

Kendi flickr hesabımı ve giriş yapmamış bir tarayıcıyı kullanarak kendi başıma biraz araştırma yaptım.

İşte fotoğraflarımdan biri için Tüm Boyutlar sayfası .

Benden önce "Orijinal görüntü dosyalarınıza kimler erişebilir?" Gizlilik ve İzinler bölümünde, genel bir İnternet kullanıcısı diğer boyutlara ek olarak " Orijinal " bağlantısını da görebilir . Bu sayfada bu URL'ye<img> bağlı bir etiket vardı . "Tüm Boyutlar" sayfasında , bu fotoğrafın Orijinal boyutunu indir yazan bir bağlantı da vardı . (URL'leri kontrol ederseniz , dosya adında bir sonek olduğunu unutmayın ; Flickr bunu görecek ve tarayıcıya görüntüyü görüntülemek yerine indirmesini söyleyen HTTP üstbilgisini tetikleyecektir)._d

Karşılaştırma için Büyük boyut sayfası ve karşılık gelen resim URL'si aşağıda verilmiştir .

Sonra gizlilik ayarını değiştirdim, giriş yapmayan tarayıcımdaki önbelleği temizledim ve bağlantıları yeniden düzenledim. İşte bulduğum:

• Orijinal boyut sayfaya link şimdi yönlendirir büyük boy sayfa . Bu makul.
• Tüm Boyutlar sayfasında artık beklendiği gibi Orijinal boyut bağlantıları yoktu.
• Orijinal boyuttaki resmi hala indirebildim
  • Bu biraz şaşırtıcı. Bu, görüntüleri içeren sayfalarda erişim kısıtlamaları olsa da , görüntülerin kendisinde güvenlik olmadığı anlamına gelir .
  • Bir web geliştiricisi olarak bunu neden yaptığını anlayabiliyorum. Görüntüler büyük ve statiktir ve muhtemelen bir içerik dağıtım ağı üzerinden sunulur. Görüntü dosyaları için izinleri kontrol etmemek daha hızlı / daha verimlidir; bunları "aptal" bir web sunucusunda bu şekilde barındırabilirsiniz.

Bu nedenle, orijinal dosyanın URL'si bir kez bilindiğinde, birisinin dosyanın orijinal sürümünü indirmesini engellemenin bir yolu yoktur (tamamen silmekten yoksun ... ve bu işe yaramayabilir. Denemedim).

Son bir sorun: orijinal dosya URL'leri ne kadar tahmin edilebilir? İşte yan yana:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

Böylece, sonek ( _bveya _o) boyutu belirler, ancak dosya adında boyuta bağlı olarak değişen başka bir öğe de vardır. Sonekleri yalnızca boyut çevirme olarak değiştiremezsiniz. İşte anahtarlı sonek ile Büyük sürümünün URL'si için _o; çalışmıyor.

Flickr olsaydım, bu orta elementin fotoğraf boyutu başına tamamen rastgele olduğundan ve kaba kuvvet saldırısı dışında tahmin edilemez olduğundan emin olurdum. 40 bit uzunluğunda, bu yüzden çok fazla seçenek var (2 ^ 40, ~ 1 Trilyon). Bu çok olası kimse onlar zaten varken segmenti sadece ... Bir dosyanın orijinal boyut sürümünü almak için o kaba kuvvete rahatsız olur bulunuyor büyük versiyonu.

Bu nedenle, "Orijinal dosya indirme" özelliğini kapattığınız ve orijinal görüntülerin URL'lerini paylaşmadığınız sürece Flickr özelliğinin oldukça güvenli olduğunu söyleyebilirim. Eğer kırılırsa, hemen hemen kendi hatanızdır.

Bu sayfa ( fatura dokumacısının gönderdiği Firefox eklentisinden bağlantıyla ), soruda bahsettiğim resim URL'sindeki "rastgele bileşen" de dahil olmak üzere durumu özetlemek için iyi bir iş çıkarır .

Yazar şunları not eder:

Bu, daha küçük boyutlardan biri için dosya adını alma zahmetine girseniz bile , orijinal fotoğrafın dosya adını tahmin edemeyeceğiniz anlamına gelir ve bu, resim hırsızlığı konusunda endişe duyan fotoğrafçılar için harika bir haberdir.

"Tahmin edemiyorum" - harika! :) Ama sonra söylemeye devam ediyor:

Harika olan şey, Flickr'ın dosya adlarını rastgele hale getirmesinden sonra, bir dosyanın orijinal boyutu için URL'yi tahmin etmenin imkansız hale gelmesiydi .

" Yanında imkansız" - kadar büyük değil! :( Ama sanırım o yeterli zaman ve işlem gücü verildiğinde onu kaba kuvvet saldırısıyla kırabileceğiniz anlamına geliyor . Öyleyse, bu benim için yeterince iyi: Bu olasılıkları alacağım. :)

Flickr varsayılan olarak güvenli olmayan web protokolü (HTTP) kullanır, böylece bunlara erişebilen bir kişiden oturum ele geçirme gerçekleştirildikten sonra herhangi bir görüntüye erişilebilir. Oturumun ele geçirilmesi için, saldırganın mağdurun ağ trafiğini dinleyebilmesi gerekir; örneğin, aynı kablosuz erişim noktasına veya bir ara ağ düğümüne erişerek. Firesheep yayınlandıktan sonra halka açık kablosuz noktalarda risk oldukça önemli hale geldi - diğer insanların aynı kablosuz alanda kullandığı çerezleri otomatik olarak alan ve kolay kullanım için sunan bir Firefox eklentisi.

Ayrıca, görüntüler ara web önbelleklerini yıllarca saklamak için izin veren başlıklar ile birlikte gelir. Bu nedenle, bir web önbelleğine göz atmak için erişim elde etmek, o önbellekten görüntülenen orijinal görüntülere de erişim sağlayabilir.

Sizin veya arkadaşlarınızın ağ bağlantısını veya önbelleklerini takip etmeyeceğim, bu yüzden hayır, size orijinal görüntünüzü göndermeyeceğim. Ancak güvenli oynamak için en iyi seçeneğiniz orijinal görüntüler yüklemek değildir.

Görüntülenirse, elbette kaydedebilirsiniz. Orijinaller korunuyorsa URL bilinmedikçe değiştirilmez. Alt satırda oldukça güvenli ve hayır ben indirilebilir olduğunu sanmıyorum.

Flickr-orijinal firefox eklentisi (i pasif böylece farz) bunun için ilk başta görünüyor, ancak kamu inceleyen adresinin orijinalleri korunan ettiyseniz aslında büyük boyutunu indirir. Bu eklenti ile fotoğrafınızın 1024 x 580 sürümünü indirdim.

Firefox eklentisi Tamperdata, görüntü için korumalı URL'nin bulunmasına izin verecektir. Bunu yapmak önemsizdir. Tek güvenlik katmanı belirsiz görünüyor.

İşte bunu yapmanın kolay yolu (Safari kullanarak), orada attığınız tüm jargon olmadan. Tüm resimler sayfasına gidin. Geliştirme açılır menünüzü etkinleştirdikten sonra Web Denetçisini Göster'e gidin. Geliştirici penceresinin sol tarafında, resim açılır menüsüne bakın. Bunu tıklayın ve uzun numaralı dizeyi arayın. Bunu tıkladığınızda, görüntü geliştirici penceresinde görünecektir. En sağda resim URL'sini göreceksiniz. URL'yi kopyalayıp yeni bir tarayıcı penceresine yapıştırın ve görüntü belirir ve buradan indirilebilir. VEYA görüntüyü geliştirici penceresinden sürükleyin. (Büyük olasılıkla adı Bilinmiyor olarak değiştirilecektir.