Làm thế nào an toàn là Flickr's Tắt vô hiệu hóa tải xuống tính năng hình ảnh gốc?

Trong trang cài đặt quyền riêng tư của Flickr có cài đặt có tên "Ai có thể truy cập các tệp hình ảnh gốc của bạn?". Nếu tôi đặt điều này thành bất cứ điều gì khác ngoài "Bất cứ ai" (ví dụ: "Chỉ bạn" hoặc "Danh bạ của bạn"), người dùng trái phép có thể truy cập hình ảnh gốc mà không cần ai đó cung cấp cho họ URL không? (Giả sử rằng ảnh gốc của tôi lớn hơn 1024px, do đó, có phiên bản gốc khác với phiên bản Lớn. Ngoài ra, giả sử đó không phải là Creative Commons được cấp phép .)

Tôi nhận thức rõ rằng một khi hình ảnh xuất hiện trong trình duyệt của họ, người dùng đã xác định có thể dễ dàng tải xuống bất kể sự bất đồng nào (ví dụ: trình chặn JavaScript) mà trình duyệt cố gắng thực hiện theo cách của họ. Tuy nhiên, tôi tin rằng những điều sau đây là chính xác:

1. Người dùng trái phép sẽ chỉ nhìn thấy một trang lỗi nếu họ cố xem trang Kích thước gốc trên Flickr (ví dụ: trang này ).

2. Mặc dù URL của trang đó có thể dễ dàng đoán được (chỉ cần thêm sizes/o/vào cuối URL của trang ảnh thông thường), URL của tệp hình ảnh gốc thực tế có một thành phần ngẫu nhiên và không thể dễ dàng đoán ra.

Có rất nhiều của mọi người trên Flickr và các nơi khác nói rằng các thiết lập tải về vô hiệu hóa là vô ích, nhưng tôi đã không nhìn thấy bất kỳ bằng chứng. Có ai biết chắc chắn rằng nó có thể được bỏ qua? Nếu bạn nói có, tôi sẽ mong bạn chứng minh điều đó bằng cách gửi cho tôi kích thước ban đầu của hình ảnh mới nhất của tôi ! (Nó chỉ dành cho bạn bè và gia đình - nên không phải bạn, chú Goober ...)

Một số bối cảnh: Tôi nên chỉ ra rằng tôi không muốn đánh cắp ảnh, tôi đang cố gắng hiểu mức độ an toàn của tôi, đặc biệt liên quan đến lỗ hổng geofences đã được báo cáo ngày hôm nay.

Tôi đã tự mình thực hiện một số điều tra, sử dụng tài khoản flickr của riêng tôi và một trình duyệt không đăng nhập.

Đây là trang Tất cả các kích cỡ cho một trong những bức ảnh của tôi .

Trước khi tôi thay đổi "Ai có thể truy cập các tệp hình ảnh gốc của bạn?" thiết lập trong Quyền riêng tư & Quyền, người dùng Internet chung có thể thấy liên kết " Bản gốc " bên cạnh các kích thước khác. Trang đó có một <img>thẻ được liên kết với url này . Trang "Tất cả kích cỡ" cũng có một liên kết cho biết Tải xuống kích thước gốc của ảnh này . (Nếu bạn kiểm tra URLS, lưu ý rằng có một _dhậu tố trên tên tệp; Flickr sẽ thấy điều này và kích hoạt tiêu đề HTTP thông báo cho trình duyệt tải xuống thay vì hiển thị hình ảnh).

Để so sánh, đây là trang kích thước lớn và URL hình ảnh tương ứng .

Sau đó, tôi đã thay đổi cài đặt quyền riêng tư, xóa bộ nhớ cache trên trình duyệt không đăng nhập của mình và kiểm tra lại các liên kết. Đây là những gì tôi tìm thấy:

• Các liên kết đến trang kích thước ban đầu tại chuyển hướng đến trang kích thước lớn . Sự hợp lý của nó.
• Trang Tất cả các kích cỡ không có liên kết kích thước gốc nữa, như mong đợi.
• Tôi vẫn có thể tải xuống hình ảnh kích thước ban đầu
  • Đây là một chút ngạc nhiên. Điều đó có nghĩa là, mặc dù có các hạn chế truy cập trên các trang có chứa hình ảnh, nhưng không có sự bảo mật nào đối với hình ảnh .
  • Là một nhà phát triển web, tôi có thể hiểu tại sao họ có thể làm điều này. Các hình ảnh lớn và tĩnh và có thể được phục vụ qua mạng phân phối nội dung. Nó nhanh hơn / hiệu quả hơn để không kiểm tra quyền cho các tệp hình ảnh; bạn chỉ có thể lưu trữ chúng trên một máy chủ web "ngu ngốc" theo cách đó.

Vì vậy, một khi URL của tệp gốc được biết đến, không có cách nào để ngăn ai đó tải xuống phiên bản gốc của tệp (không thể xóa hoàn toàn ... và điều đó thậm chí có thể không hoạt động. Tôi đã không thử).

Một vấn đề cuối cùng: làm thế nào có thể đoán được URLS tệp gốc? Ở đây họ sát cánh bên nhau:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

Vì vậy, hậu tố ( _bhoặc _o) xác định kích thước, nhưng cũng có một yếu tố khác trong tên tệp thay đổi tùy theo kích thước. Bạn không thể thay đổi hậu tố thành kích thước lật. Dưới đây là các URL cho phiên bản lớn với hậu tố chuyển đến _o; nó không hoạt động.

Nếu tôi là Flickr, tôi chắc chắn rằng yếu tố trung bình đó hoàn toàn ngẫu nhiên trên mỗi kích thước ảnh, và do đó không thể tin được trừ khi bị tấn công bằng vũ lực. Nó dài 40 bit, vì vậy có rất nhiều (2 ^ 40, ~ 1 nghìn tỷ) tùy chọn có thể. Rất khó có ai có thể bắt bẻ phân khúc đó chỉ để có được phiên bản kích thước gốc của một tệp ... khi họ đã có phiên bản lớn .

Vì vậy, miễn là bạn đã tắt tính năng "Tải xuống tệp gốc" và bạn không chia sẻ URL của ảnh gốc , tôi sẽ nói rằng tính năng Flickr khá an toàn. Nếu nó bị hỏng, đó là lỗi của bạn.

Trang này (được liên kết đến từ plugin Firefox mà bill Weaver đã đăng) thực hiện tốt việc tóm tắt tình huống, bao gồm cả "thành phần ngẫu nhiên" trong URL hình ảnh mà tôi đã đề cập trong câu hỏi.

Tác giả lưu ý:

Điều này có nghĩa là ngay cả khi bạn gặp rắc rối khi lấy tên tệp cho một trong các kích thước nhỏ hơn, bạn không thể đoán tên tệp của ảnh gốc và đây là tin tuyệt vời cho các nhiếp ảnh gia lo lắng về hành vi trộm cắp hình ảnh.

"Không thể đoán" - tuyệt vời! :) Nhưng sau đó anh tiếp tục nói:

Điều thú vị là sau khi Flickr chọn ngẫu nhiên các tên tệp, nó trở nên không thể đoán URL cho kích thước ban đầu của tệp.

" Bên cạnh không thể" - không tuyệt vời lắm! :( Nhưng tôi cho rằng anh ta chỉ có nghĩa là đã cho đủ thời gian và sức mạnh xử lý, bạn có thể bẻ khóa nó bằng một cuộc tấn công vũ phu . Nếu vậy, điều đó đủ tốt cho tôi: Tôi sẽ nhận những tỷ lệ cược đó. :)

Flickr sử dụng giao thức web không bảo mật (HTTP) theo mặc định, do đó, bất kỳ hình ảnh nào cũng có thể được truy cập sau khi thực hiện chiếm quyền điều khiển phiên từ một người có thể truy cập chúng. Để chiếm quyền điều khiển phiên, kẻ tấn công cần có khả năng nghe lén lưu lượng truy cập mạng của nạn nhân, ví dụ: bằng cách truy cập cùng một điểm truy cập không dây hoặc một số nút mạng trung gian. Nguy cơ đã trở nên khá đáng kể ở các điểm không dây công cộng sau khi Firesheep được phát hành - một plugin Firefox tự động lấy cookie mà người khác sử dụng trong cùng khu vực không dây và trình bày chúng để dễ sử dụng.

Ngoài ra, hình ảnh đi kèm với các tiêu đề cho phép lưu trữ web trung gian để giữ chúng trong nhiều năm. Vì vậy, việc truy cập để duyệt bộ đệm web cũng có thể cung cấp quyền truy cập vào hình ảnh gốc đã được xem qua bộ đệm đó.

Tôi sẽ không truy cập kết nối mạng hoặc bộ nhớ cache của bạn hoặc bạn bè của bạn, vì vậy không, tôi sẽ không gửi cho bạn hình ảnh gốc của bạn. Nhưng để chơi an toàn, cách tốt nhất của bạn là không tải lên hình ảnh gốc.

Nếu nó được hiển thị, tất nhiên bạn có thể lưu nó. Nếu bản gốc được bảo vệ, thì trừ khi URL được biết đến. Dòng dưới cùng là khá an toàn và không tôi không nghĩ rằng nó có thể được tải xuống.

Các firefox Plugin flickr-gốc dường như lúc đầu để làm điều này (i một cách thụ động giả định như vậy), nhưng thực chất tải các kích thước lớn nếu bạn đã được bảo vệ bản gốc của bạn từ công chúng xem. Tôi đã tải xuống phiên bản 1024 x 580 của ảnh của bạn với plugin này.

Trình cắm Firefox Tamperdata sẽ cho phép phát hiện url được bảo vệ cho hình ảnh. Nó là tầm thường để làm như vậy. Lớp bảo mật duy nhất dường như bị che khuất.

Đây là cách dễ dàng để làm điều này (sử dụng Safari) mà không cần tất cả các biệt ngữ mà bạn đang ném ra ngoài đó. Tới trang tất cả hình ảnh. Khi bạn đã bật trình đơn thả xuống Phát triển của mình, hãy đến Hiển thị Trình theo dõi Web. Ở phía bên trái của cửa sổ nhà phát triển, tìm kiếm hình ảnh thả xuống. Bấm vào đó và tìm chuỗi có số dài. Khi bạn bấm vào đó, hình ảnh sẽ xuất hiện trong cửa sổ nhà phát triển. Ở phía bên phải, bạn sẽ thấy URL hình ảnh. Sao chép và dán URL trong cửa sổ trình duyệt mới và hình ảnh xuất hiện và có thể được tải xuống từ đó. HOẶC chỉ cần kéo hình ảnh từ cửa sổ nhà phát triển. (Nó có thể sẽ được đổi tên thành Unknown.