Quanto è sicura la funzione "disabilita download dell'immagine originale" di Flickr?

Nella pagina delle impostazioni sulla privacy di Flickr c'è un'impostazione intitolata "Chi può accedere ai file di immagine originali?". Se lo imposto su un valore diverso da "Chiunque" (ad es. "Solo tu" o "I tuoi contatti"), è ancora possibile per un utente non autorizzato accedere all'immagine originale senza che qualcuno gli dia l'URL? (Supponiamo che la mia foto originale sia più grande di 1024 px, quindi c'è una versione originale distinta dalla versione grande. Supponi anche che non sia una licenza Creative Commons .)

Sono ben consapevole che una volta che un'immagine è apparsa nel loro browser, un determinato utente può facilmente scaricarla indipendentemente da eventuali disincentivi (ad esempio i blocchi JavaScript) che il browser tenta di mettere in mezzo. Tuttavia, credo che quanto segue sia corretto:

1. Un utente non autorizzato vedrà solo una pagina di errore se tenterà di visualizzare la pagina Dimensioni originali su Flickr (ad esempio questa pagina ).

2. Sebbene l'URL di quella pagina sia facilmente indovinabile (basta aggiungere sizes/o/alla fine dell'URL normale della pagina di foto), l'URL del file di immagine originale effettivo ha un componente casuale e non può essere facilmente indovinato.

Ci sono un sacco di persone su Flickr e dicendo altrove la disabilitazione impostazione download è inutile, ma non ho visto alcuna prova. Qualcuno sa per certo che può essere bypassato? Se dici di sì, mi aspetto che tu lo dimostri inviandomi le dimensioni originali della mia ultima immagine ! (È pensato per essere disponibile solo per amici e parenti - quindi non tu, zio Goober ...)

Qualche contesto: dovrei sottolineare che non sto cercando di rubare foto, sto cercando di capire quanto siano sicure le mie, in particolare per quanto riguarda questa scappatoia di geofence che è stata segnalata oggi.

Ho svolto alcune indagini da solo, utilizzando il mio account flickr e un browser non registrato.

Ecco la pagina Tutte le dimensioni per una delle mie foto .

Prima di modificare il "Chi può accedere ai file di immagine originali?" in Privacy e autorizzazioni, un utente generico di Internet potrebbe vedere il link " Originale " oltre alle altre dimensioni. Quella pagina aveva un <img>tag collegato a questo URL . La pagina "Tutte le dimensioni" aveva anche un link che diceva Scarica le dimensioni originali di questa foto . (Se controlli gli URL, nota che c'è un _dsuffisso sul nome del file; Flickr lo vedrà e attiverà l'intestazione HTTP che dice al browser di scaricare invece di visualizzare l'immagine).

Per confronto, ecco la pagina di grandi dimensioni e l' URL dell'immagine corrispondente .

Quindi ho modificato le impostazioni sulla privacy, cancellato la cache dal mio browser non registrato e ricollegato i collegamenti. Ecco cosa ho trovato:

• Il collegamento alla pagina di dimensioni originali ora reindirizza alla pagina di grandi dimensioni . È ragionevole.
• La pagina Tutte le dimensioni non aveva più i collegamenti alle dimensioni originali, come previsto.
• Sono stato ancora in grado di scaricare l'immagine delle dimensioni originali
  • Questo è un po 'sorprendente. Ciò significa che, sebbene ci siano restrizioni di accesso alle pagine contenenti le immagini, non vi è alcuna sicurezza sulle immagini stesse .
  • Come sviluppatore web posso capire perché probabilmente lo hanno fatto. Le immagini sono grandi e statiche e probabilmente fornite tramite una rete di distribuzione dei contenuti. È più veloce / più efficiente non controllare le autorizzazioni per i file di immagine; puoi semplicemente ospitarli su un server "stupido" in quel modo.

Quindi, una volta che l'URL per il file originale è noto, non c'è modo di impedire a qualcuno di scaricare la versione originale del file (a corto di eliminarlo del tutto ... e che non possono lavorare. Non ho provato).

Un ultimo problema: quanto sono indovinabili gli URL del file originale? Eccoli fianco a fianco:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

Quindi, il suffisso ( _bo _o) determina la dimensione, ma c'è anche un altro elemento nel nome del file che varia a seconda della dimensione. Non puoi semplicemente cambiare il suffisso per capovolgere le dimensioni. Ecco l' URL per la versione Large con il suffisso impostato su _o; non funziona.

Se fossi Flickr, mi assicurerei che quell'elemento centrale fosse completamente casuale per dimensione della foto, e quindi non immaginabile se non per attacco di forza bruta. È lungo 40 bit, quindi ci sono molte (2 ^ 40, ~ 1 trilione) di possibili opzioni. È molto improbabile che qualcuno si preoccupi di forzare bruscamente quel segmento solo per ottenere la versione originale di un file ... quando hanno già la versione grande .

Quindi, fintanto che hai disattivato la funzione "Download file originale" e non condividi gli URL delle immagini originali , direi che la funzione Flickr è piuttosto sicura. Se si rompe, è praticamente colpa tua.

Questa pagina (collegata al plug-in Firefox che Bill Weaver ha pubblicato) fa un buon lavoro di riepilogo della situazione, incluso il "componente casuale" nell'URL dell'immagine che ho citato nella domanda.

L'autore osserva:

Ciò significa che anche se hai il problema di ottenere il nome del file per una delle dimensioni più piccole, non puoi indovinare il nome del file della foto originale , e questa è un'ottima notizia per i fotografi preoccupati per il furto di immagini.

"Impossibile indovinare" - fantastico! :) Ma poi continua dicendo:

Il bello è che dopo che Flickr ha randomizzato i nomi dei file, è diventato quasi impossibile indovinare l'URL della dimensione originale di un file.

" Quasi impossibile" - non così eccezionale! :( Ma suppongo che significhi solo che, dato il tempo e la potenza di elaborazione sufficienti, potresti spezzarlo con un attacco di forza bruta . In tal caso, è abbastanza buono per me: prenderò quelle probabilità. :)

Flickr utilizza il protocollo Web non sicuro (HTTP) per impostazione predefinita, quindi è possibile accedere a qualsiasi immagine dopo aver eseguito il dirottamento della sessione da una persona che può accedervi. Per il dirottamento della sessione, l'utente malintenzionato deve essere in grado di intercettare il traffico di rete della vittima, ad esempio accedendo allo stesso punto di accesso wireless o ad un nodo di rete intermedio. Il rischio è diventato abbastanza significativo negli spot wireless pubblici dopo il rilascio di Firesheep : un plug-in Firefox che acquisisce automaticamente i cookie che altre persone utilizzano nella stessa area wireless e li presenta per un facile utilizzo.

Inoltre, le immagini vengono fornite con intestazioni che consentono alle cache Web intermedie di conservarle per anni. Pertanto, ottenere l'accesso alla navigazione in una cache Web potrebbe anche fornire l'accesso alle immagini originali che sono state visualizzate attraverso quella cache.

Non inseguirò la connessione di rete o la cache dei tuoi amici o dei tuoi amici, quindi no, non ho intenzione di inviarti la tua immagine originale. Ma per giocare in sicurezza, la soluzione migliore è non caricare immagini originali.

Se viene visualizzato, ovviamente puoi salvarlo. Se gli originali sono protetti, non a meno che l'URL non sia noto. La linea di fondo è piuttosto sicura e no , non credo che possa essere scaricata.

Il plug-in Firefox originale di Flickr sembra inizialmente farlo (l'ho ipotizzato passivamente), ma in realtà scarica le grandi dimensioni se hai protetto i tuoi originali dalla visualizzazione pubblica. Ho scaricato una versione 1024 x 580 della tua foto con questo plugin.

Il plugin Firefox Tamperdata consentirà la scoperta dell'URL protetto per l'immagine. È banale farlo. L'unico livello di sicurezza sembra essere l'oscurità.

Ecco il modo semplice per farlo (usando Safari) senza tutto il gergo che la gente sta lanciando. Vai alla pagina di tutte le immagini. Dopo aver abilitato il menu a discesa Sviluppo, vai a Mostra Web Inspector. Sul lato sinistro della finestra dello sviluppatore, cerca le immagini a discesa. Fare clic su questo e cercare la stringa con il numero lungo. Quando fai clic su quello, l'immagine apparirà nella finestra dello sviluppatore. All'estrema destra vedrai l'URL dell'immagine. Copia e incolla l'URL in una nuova finestra del browser e l'immagine appare e può essere scaricata da lì. O semplicemente trascina l'immagine dalla finestra dello sviluppatore. (Probabilmente il suo nome verrà cambiato in Sconosciuto.