En la página de configuración de privacidad de Flickr hay una configuración titulada "¿Quién puede acceder a sus archivos de imagen originales?". Si configuro esto en otra cosa que no sea "Cualquiera" (por ejemplo, "Solo usted" o "Sus contactos"), ¿aún es posible que un usuario no autorizado acceda a la imagen original sin que alguien le dé la URL? (Suponga que mi foto original es más grande que 1024px, por lo que hay una versión original distinta de la versión grande. También suponga que no tiene licencia Creative Commons ).
Soy consciente de que una vez que una imagen ha aparecido en su navegador, un usuario determinado puede descargarla fácilmente independientemente de cualquier desincentivo (por ejemplo, bloqueadores de JavaScript) que el navegador intente poner en su camino. Sin embargo, creo que lo siguiente es correcto:
Un usuario no autorizado solo verá una página de error si intenta ver la página Tamaño original en Flickr (por ejemplo, esta página ).
Aunque la URL de esa página es fácil de adivinar (solo agregue
sizes/o/
al final de la URL de la página de fotos normal), la URL del archivo de imagen original real tiene un componente aleatorio y no se puede adivinar fácilmente.
Hay un montón de gente en Flickr y en otros lugares diciendo el ajuste de descarga deshabilitar es inútil, pero no he visto ninguna prueba. ¿Alguien sabe con certeza que se puede evitar? Si dice que sí, ¡espero que lo demuestre enviándome el tamaño original de mi última imagen ! (Está destinado a estar disponible solo para amigos y familiares, así que no tú, tío Goober ...)
Algún contexto: Debo señalar que no estoy buscando robar fotos, estoy tratando de entender cuán seguras son las minas, específicamente con respecto a esta escapatoria de geofences que se informó hoy.
Respuestas:
Investigué por mi cuenta, usando mi propia cuenta de flickr y un navegador no conectado.
Aquí está la página Todos los tamaños para una de mis fotos .
Antes de que yo cambie "¿Quién puede acceder a sus archivos de imagen originales?" configurando en Privacidad y permisos, un usuario genérico de Internet podría ver el enlace " Original " además de los otros tamaños. Esa página tenía una
<img>
etiqueta que vinculaba a esta url . La página "Todos los tamaños" también tenía un enlace que decía Descargar el tamaño original de esta foto . (Si marca las URLS, tenga en cuenta que hay un_d
sufijo en el nombre del archivo; Flickr lo verá y activará el encabezado HTTP que le indica al navegador que descargue en lugar de mostrar la imagen).A modo de comparación, aquí está la página de gran tamaño y la URL de la imagen correspondiente .
Luego cambié la configuración de privacidad, borré el caché en mi navegador que no estaba conectado y volví a revisar los enlaces. Esto es lo que encontré:
Entonces, una vez que se conoce la URL del archivo original, no hay forma de evitar que alguien descargue la versión original del archivo (salvo eliminarlo por completo ... y eso puede que ni siquiera funcione. No lo intenté).
Un último problema: ¿cuán previsibles son las URL de archivo originales? Aquí están uno al lado del otro:
Entonces, el sufijo (
_b
o_o
) determina el tamaño, pero también hay otro elemento en el nombre del archivo que varía según el tamaño. No puede simplemente cambiar el sufijo a voltear tamaños. Aquí está la dirección URL de la versión grande con el sufijo conmutada a_o
; No funciona.Si yo fuera Flickr, me aseguraría de que ese elemento del medio fuera completamente aleatorio por tamaño de foto y, por lo tanto, incuestionable, excepto por el ataque de fuerza bruta. Tiene 40 bits de longitud, por lo que hay muchas opciones posibles (2 ^ 40, ~ 1 billón). Es muy poco probable que alguien se moleste en forzar ese segmento solo para obtener la versión original de un archivo ... cuando ya tienen la versión grande .
Por lo tanto, siempre que haya desactivado la función "Descarga de archivos originales" y no comparta las URL de las imágenes originales , diría que la función Flickr es bastante segura. Si se rompe, es tu culpa.
fuente
Esta página (vinculada desde el complemento de Firefox que publicó Bill Weaver ) hace un buen trabajo al resumir la situación, incluido el "componente aleatorio" en la URL de la imagen que mencioné en la pregunta.
El autor señala:
"No puedo adivinar" - ¡genial! :) Pero luego continúa diciendo:
" Al lado de lo imposible" - ¡no tan genial! :( Pero supongo que solo quiere decir que, con suficiente tiempo y potencia de procesamiento, podrías romperlo con un ataque de fuerza bruta . Si es así, eso es lo suficientemente bueno para mí: tomaré esas probabilidades. :)
fuente
Flickr utiliza el protocolo web no seguro (HTTP) de forma predeterminada, por lo que se puede acceder a cualquier imagen después de realizar el secuestro de sesión de una persona que puede acceder a ellas. Para el secuestro de sesión, el atacante debe poder espiar el tráfico de red de la víctima, por ejemplo, accediendo al mismo punto de acceso inalámbrico o algún nodo de red intermedio. El riesgo se ha vuelto bastante significativo en los lugares inalámbricos públicos después del lanzamiento de Firesheep , un complemento de Firefox que captura automáticamente las cookies que otras personas usan en la misma área inalámbrica y las presenta para facilitar su uso.
Además, las imágenes vienen con encabezados que permiten que las cachés web intermedias las conserven durante años. Por lo tanto, obtener acceso para explorar un caché web también puede proporcionar acceso a imágenes originales que se han visto a través de ese caché.
No voy a perseguir tu conexión de red o la caché de tus amigos, así que no, no voy a enviarte tu imagen original. Pero para jugar con seguridad, lo mejor es no subir imágenes originales.
fuente
Si se muestra, por supuesto, puede guardarlo. Si los originales están protegidos, no a menos que se conozca la URL. La conclusión es bastante segura y no , no creo que se pueda descargar.
Al principio, el complemento flickr-original de firefox parece hacer esto (lo asumí pasivamente), pero en realidad descarga el gran tamaño si ha protegido sus originales de la visualización pública. He descargado una versión de 1024 x 580 de tu foto con este complemento.
fuente
El complemento de Firefox Tamperdata permitirá el descubrimiento de la URL protegida para la imagen. Es trivial hacerlo. La única capa de seguridad parece ser la oscuridad.
fuente
Aquí está la manera fácil de hacer esto (usando Safari) sin toda la jerga que están lanzando. Ve a la página de todas las imágenes. Una vez que haya habilitado su menú desplegable Desarrollar, vaya a Mostrar inspector web. En el lado izquierdo de la ventana del desarrollador, busque las imágenes desplegables. Haga clic en eso y busque la cadena con el número largo. Al hacer clic en eso, la imagen aparecerá en la ventana del desarrollador. En el extremo derecho verá la URL de la imagen. Copie y pegue la URL en una nueva ventana del navegador y la imagen aparece y se puede descargar desde allí. O simplemente arrastre la imagen desde la ventana del desarrollador. (Es probable que cambie su nombre a Desconocido.
fuente