На странице настроек конфиденциальности Flickr есть настройка, озаглавленная «Кто может получить доступ к вашим исходным файлам изображений?». Если я установлю для этого параметра что-либо, кроме «Кто-нибудь» (например, «Только вы» или «Ваши контакты»), все же возможно ли неавторизованному пользователю получить доступ к исходному изображению, не предоставив ему URL-адрес для него? (Предположим, что моя исходная фотография имеет размер более 1024 пикселей, поэтому есть оригинальная версия, отличная от Большой версии. Также предположим, что она не лицензирована Creative Commons .)
Мне хорошо известно, что как только изображение появилось в их браузере, определенный пользователь может легко загрузить его независимо от каких-либо сдерживающих факторов (например, блокировщиков JavaScript), которые браузер пытается им помешать. Тем не менее, я считаю, что правильно
Неавторизованный пользователь просто увидит страницу с ошибкой, если попытается просмотреть страницу исходного размера на Flickr (например, на этой странице ).
Хотя URL этой страницы легко угадать (просто добавьте
sizes/o/
в конец обычного URL страницы с фотографией), URL фактического исходного файла изображения содержит случайный компонент и не может быть легко угадан.
Есть много из людей на Flickr и в других местах говоря , что отключить параметр загрузки бесполезно, но я не видел никаких доказательств. Кто-нибудь знает наверняка, что это можно обойти? Если вы скажете «да», я ожидаю, что вы докажете это, отправив мне оригинальный размер моего последнего изображения ! (Он предназначен для того, чтобы быть доступным только для друзей и семьи - не для вас, дядя Губер ...)
Немного контекста: я должен указать, что я не собираюсь воровать фотографии, я пытаюсь понять, насколько безопасны мои, особенно в отношении этой лазейки геозон, о которой было сообщено сегодня.
Ответы:
Я провел собственное расследование, используя собственную учетную запись flickr и незарегистрированный браузер.
Вот страница всех размеров для одной из моих фотографий .
До меня менялось "Кто может получить доступ к вашим исходным файлам изображений?" В разделе «Конфиденциальность и разрешения» пользователь Интернета может видеть ссылку « Оригинал » в дополнение к другим размерам. На этой странице был
<img>
тег, связанный с этим URL . На странице «Все размеры» также была ссылка « Загрузить оригинальный размер этой фотографии» . (Если вы проверите URL-адреса, обратите внимание, что в_d
имени файла есть суффикс; Flickr увидит это и вызовет HTTP-заголовок, который говорит браузеру загрузить вместо отображения изображения).Для сравнения, вот страница большого размера и соответствующий URL изображения .
Затем я изменил настройку конфиденциальности, очистил кеш в своем незарегистрированном браузере и перепроверил ссылки. Вот что я нашел:
Таким образом, как только URL-адрес исходного файла известен, невозможно остановить загрузку оригинальной версии файла (если не считать его полного удаления ... и это может даже не сработать. Я не пробовал).
Последний вопрос: насколько правдоподобны исходные URL-адреса файлов? Вот они рядом:
Таким образом, суффикс (
_b
или_o
) определяет размер, но есть также другой элемент в имени файла, который изменяется в зависимости от размера. Вы не можете просто изменить суффикс для изменения размеров. Вот URL для Большой версии с суффиксом, переключенным на_o
; это не работаетЕсли бы я был Flickr, я бы удостоверился, что этот средний элемент был абсолютно случайным для каждого размера фотографии, и, следовательно, его невозможно угадать, за исключением атаки методом грубой силы. Его длина составляет 40 бит, поэтому есть много (2 ^ 40, ~ 1 триллион) возможных вариантов. Маловероятно, что кто-либо потрудится перебрать этот сегмент, чтобы получить версию файла в оригинальном размере ... когда у него уже есть большая версия.
Итак, если вы отключили функцию «Загрузка исходного файла» и не указали URL-адреса исходных изображений , я бы сказал, что функция Flickr довольно безопасна. Если это сломается, это в значительной степени ваша собственная вина.
источник
Эта страница (на которую ссылается плагин Firefox, который опубликовал ткач ), хорошо подытоживает ситуацию, включая «случайный компонент» в URL-адресе изображения, который я упомянул в вопросе.
Автор отмечает:
«Не могу угадать» - отлично! :) Но затем он продолжает:
« Рядом с невозможным» - не так уж и здорово! :( Но я предполагаю, что он просто означает, что при наличии достаточного количества времени и вычислительной мощности вы можете взломать его с помощью грубой атаки . Если это так, то для меня этого достаточно: я воспользуюсь этими шансами. :)
источник
Flickr по умолчанию использует небезопасный веб-протокол (HTTP), поэтому любой доступ к изображениям можно получить после перехвата сеанса от человека, который может получить к ним доступ. Для перехвата сеанса злоумышленник должен иметь возможность прослушивать сетевой трафик жертвы, например, посредством доступа к той же точке беспроводного доступа или некоторому промежуточному сетевому узлу. После того, как Firesheep был выпущен, риск стал довольно значительным в общественных местах - плагин Firefox, который автоматически захватывает файлы cookie, используемые другими людьми в той же беспроводной области, и представляет их для удобства использования.
Кроме того, изображения поставляются с заголовками, которые позволяют промежуточным веб-кэшам хранить их годами. Таким образом, получение доступа к просмотру веб-кэша может также обеспечить доступ к исходным изображениям, которые были просмотрены через этот кэш.
Я не собираюсь выслеживать сетевое подключение или кэши ваших или ваших друзей, поэтому нет, я не собираюсь отправлять вам ваше оригинальное изображение. Но чтобы не рисковать, лучше всего не загружать оригинальные изображения.
источник
Если он отображается, конечно, вы можете сохранить его. Если оригиналы защищены, то нет, если URL не известен. Итог довольно безопасный и нет, я не думаю, что его можно скачать.
Flickr-оригинальный светлячок плагин кажется на первом , чтобы сделать это (я пассивно считать так), но на самом деле загружает большой размер , если вы защитили оригинал от публичного просмотра. Я загрузил 1024 x 580 версию вашей фотографии с этим плагином.
источник
Плагин Firefox Tamperdata позволит обнаружить защищенный URL для изображения. Это тривиально. Единственный уровень безопасности, кажется, мрак.
источник
Вот простой способ сделать это (используя Safari) без всего того жаргонного слова, которое вы, ребята, выкидываете туда. Перейти на страницу всех изображений. После того, как вы включили раскрывающееся меню «Разработка», перейдите в «Показать веб-инспектора». В левой части окна разработчика найдите выпадающие изображения. Нажмите на это и найдите строку с длинным номером. Когда вы нажмете на это, изображение появится в окне разработчика. В дальнем правом углу вы увидите URL изображения. Скопируйте и вставьте URL-адрес в новом окне браузера, и изображение появится и может быть загружено оттуда. ИЛИ просто перетащите изображение из окна разработчика. (Вероятно, его имя будет изменено на Неизвестно.
источник