Seberapa amankah fitur "nonaktifkan unduhan gambar asli" Flickr?

Di halaman pengaturan privasi Flickr ada pengaturan berjudul "Siapa yang dapat mengakses file gambar asli Anda?". Jika saya mengatur ini selain "Siapapun" (mis. "Hanya Anda" atau "Kontak Anda"), apakah masih mungkin bagi pengguna yang tidak sah untuk mengakses gambar asli tanpa seseorang memberi mereka URL untuk itu? (Asumsikan foto asli saya lebih besar dari 1024px, jadi ada versi Asli yang berbeda dari versi Besar. Juga anggap itu bukan lisensi Creative Commons .)

Saya sangat menyadari bahwa setelah gambar muncul di browser mereka, pengguna yang gigih dapat dengan mudah mengunduhnya terlepas dari disinsentif apa pun (misalnya pemblokir JavaScript) yang dicoba oleh browser untuk menghalangi mereka. Namun, saya percaya yang berikut ini benar:

1. Pengguna yang tidak sah hanya akan melihat halaman kesalahan jika mereka mencoba untuk melihat halaman Ukuran Asli pada Flickr (misalnya halaman ini ).

2. Meskipun URL halaman itu mudah ditebak (cukup tambahkan sizes/o/di akhir URL halaman foto biasa), URL file gambar asli yang sebenarnya memiliki komponen acak dan tidak dapat dengan mudah ditebak.

Ada banyak dari orang-orang di Flickr dan di tempat lain mengatakan download pengaturan menonaktifkan tidak berguna, tapi saya belum melihat bukti. Adakah yang tahu pasti itu bisa dilewati? Jika Anda menjawab ya, saya akan mengharapkan Anda untuk membuktikannya dengan mengirimkan saya ukuran asli gambar terbaru saya ! (Ini dimaksudkan hanya untuk teman & keluarga saja - jadi bukan kamu, Paman Goober ...)

Beberapa konteks: Saya harus menunjukkan saya tidak ingin mencuri foto, saya mencoba untuk memahami seberapa aman foto saya, khususnya yang berkaitan dengan celah geofences ini yang dilaporkan hari ini.

Saya melakukan investigasi sendiri, menggunakan akun flickr saya sendiri dan browser yang tidak masuk.

Inilah halaman Semua Ukuran untuk salah satu foto saya .

Sebelum saya mengubah "Siapa yang dapat mengakses file gambar asli Anda?" pengaturan dalam Privasi & Izin, pengguna Internet generik dapat melihat tautan " Asli " di samping ukuran lainnya. Halaman itu memiliki <img>tag yang terhubung dengan url ini . Halaman "Semua Ukuran" juga memiliki tautan yang mengatakan Unduh ukuran Asli foto ini . (Jika Anda memeriksa URL, perhatikan bahwa ada _dakhiran pada nama file; Flickr akan melihat ini dan memicu header HTTP yang memberi tahu peramban untuk mengunduh daripada menampilkan gambar).

Untuk perbandingan, inilah halaman Ukuran besar dan URL gambar yang sesuai .

Lalu saya mengubah pengaturan privasi, membersihkan cache pada browser saya yang tidak masuk, dan mengecek ulang tautannya. Inilah yang saya temukan:

• The link ke halaman ukuran aslinya sekarang dialihkan ke halaman ukuran besar . Itu masuk akal.
• Halaman Semua Ukuran tidak memiliki tautan ukuran Asli lagi, seperti yang diharapkan.
• Saya masih dapat mengunduh gambar ukuran asli
  • Ini agak mengejutkan. Ini berarti bahwa, sementara ada pembatasan akses pada halaman yang berisi gambar, tidak ada keamanan pada gambar itu sendiri .
  • Sebagai pengembang web, saya bisa mengerti mengapa mereka mungkin melakukan ini. Gambarnya besar dan statis dan mungkin disajikan melalui jaringan pengiriman konten. Lebih cepat / lebih efisien untuk tidak memeriksa izin untuk file gambar; Anda bisa meng-host mereka di server web "bodoh" dengan cara itu.

Jadi, setelah URL untuk file asli diketahui, tidak ada cara untuk menghentikan seseorang dari mengunduh versi asli file (singkatnya menghapus sepenuhnya ... dan itu bahkan mungkin tidak berfungsi. Saya tidak mencoba).

Satu masalah terakhir: seberapa bisa diduga URL file aslinya? Di sini mereka berdampingan:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

Jadi, akhiran ( _batau _o) menentukan ukuran, tetapi ada juga elemen lain dalam nama file yang bervariasi tergantung pada ukurannya. Anda tidak bisa hanya mengubah akhiran menjadi ukuran flip. Berikut URL untuk versi Besar dengan suffix yang dialihkan ke _o; itu tidak bekerja.

Jika saya adalah Flickr, saya akan memastikan bahwa elemen tengah itu benar-benar acak per ukuran foto, dan karenanya tidak dapat diterima kecuali dengan serangan brute force. Panjangnya 40 bit, jadi ada banyak (2 ^ 40, ~ 1 Triliun) opsi yang memungkinkan. Sangat tidak mungkin ada orang yang mau repot-repot memaksa segmen itu hanya untuk mendapatkan versi ukuran asli dari suatu file ... ketika mereka sudah memiliki versi besar .

Jadi, selama Anda mematikan fitur "Pengunduhan file asli" dan Anda tidak membagikan URL dari gambar asli , saya akan mengatakan bahwa fitur Flickr cukup aman. Jika rusak, itu salahmu sendiri.

Halaman ini (ditautkan dari plugin Firefox yang diposting oleh bill weaver ) melakukan pekerjaan yang baik untuk merangkum situasi, termasuk "komponen acak" di URL gambar yang saya sebutkan dalam pertanyaan.

Penulis mencatat:

Ini berarti bahwa bahkan jika Anda kesulitan mendapatkan nama file untuk ukuran yang lebih kecil, Anda tidak dapat menebak nama file dari foto asli , dan ini adalah berita bagus bagi fotografer yang khawatir dengan pencurian gambar.

"Tidak bisa menebak" - hebat! :) Tapi kemudian dia berkata:

Yang keren adalah bahwa setelah Flickr mengacak nama file, hampir tidak mungkin untuk menebak URL untuk ukuran asli file.

"Di samping mustahil" - tidak terlalu bagus! :( Tapi saya berasumsi dia hanya berarti bahwa diberikan cukup waktu dan kekuatan pemrosesan Anda bisa memecahkannya dengan serangan brute-force . Jika demikian, itu cukup baik bagi saya: Saya akan mengambil peluang itu. :)

Flickr menggunakan protokol web tidak aman (HTTP) secara default, sehingga gambar apa pun dapat diakses setelah melakukan pembajakan sesi dari seseorang yang dapat mengaksesnya. Untuk pembajakan sesi, penyerang harus dapat menguping lalu lintas jaringan korban, misalnya dengan mengakses titik akses nirkabel yang sama atau beberapa node jaringan menengah. Risiko menjadi sangat signifikan di titik nirkabel publik setelah Firesheep dirilis - sebuah plugin Firefox yang secara otomatis mengambil cookie yang digunakan orang lain di area nirkabel yang sama dan menyajikannya agar mudah digunakan.

Juga, gambar datang dengan header yang memungkinkan cache web menengah menyimpannya selama bertahun-tahun. Jadi mendapatkan akses untuk menelusuri cache web mungkin juga menyediakan akses ke gambar asli yang telah dilihat melalui cache itu.

Saya tidak akan mengejar koneksi jaringan atau cache teman Anda, jadi tidak, saya tidak akan mengirimi Anda gambar asli Anda. Tetapi untuk bermain aman, taruhan terbaik Anda bukan mengunggah gambar asli.

Jika ditampilkan, tentu saja Anda bisa menyimpannya. Jika aslinya dilindungi, maka tidak kecuali URL diketahui. Intinya cukup aman dan tidak saya pikir itu tidak dapat diunduh.

The flickr-asli firefox plugin yang tampaknya pada awalnya untuk melakukan hal ini (saya pasif diasumsikan begitu), tapi benar-benar mendownload ukuran besar jika Anda telah dilindungi asli Anda dari melihat masyarakat. Saya telah mengunduh versi 1024 x 580 foto Anda dengan plugin ini.

Plugin Firefox Tamperdata akan memungkinkan penemuan url yang dilindungi untuk gambar. Sangat sepele untuk melakukannya. Satu-satunya lapisan keamanan tampaknya tidak jelas.

Inilah cara mudah untuk melakukan ini (menggunakan Safari) tanpa semua jargon yang kalian lemparkan di sana. Buka halaman semua gambar. Setelah Anda mengaktifkan menu drop down Develop, buka Show Web Inspector. Di sisi kiri jendela pengembang, cari drop-down gambar. Klik itu dan cari string dengan nomor yang panjang. Ketika Anda mengklik itu, gambar akan muncul di jendela pengembang. Di paling kanan Anda akan melihat URL gambar. Salin dan tempel URL di jendela browser baru dan gambar muncul dan dapat diunduh dari sana. ATAU cukup seret gambar dari jendela pengembang. (Kemungkinan namanya akan berubah menjadi Tidak Dikenal.