Na página de configurações de privacidade do Flickr, há uma configuração chamada "Quem pode acessar seus arquivos de imagem originais?". Se eu definir isso como algo diferente de "Qualquer pessoa" (por exemplo, "Somente você" ou "Seus contatos"), ainda é possível que um usuário não autorizado acesse a imagem original sem que alguém forneça o URL para ela? (Suponha que minha foto original tenha mais de 1024 px, portanto, há uma versão original distinta da versão grande. Suponha também que não seja licenciada pela Creative Commons .)
Estou ciente de que, uma vez que uma imagem apareça no navegador, um usuário determinado pode baixá-la facilmente, independentemente de qualquer desincentivo (por exemplo, bloqueadores de JavaScript) que o navegador tenta colocar em seu caminho. No entanto, acredito que o seguinte está correto:
Um usuário não autorizado verá apenas uma página de erro se tentar visualizar a página Tamanho original no Flickr (por exemplo, esta página ).
Embora o URL dessa página seja fácil de adivinhar (basta adicionar
sizes/o/
ao final do URL normal da página de fotos), o URL do arquivo de imagem original real tem um componente aleatório e não pode ser facilmente adivinhado.
Há uma abundância de pessoas no Flickr e em outros lugares dizendo que a configuração de download disable é inútil, mas eu não vi nenhuma prova. Alguém sabe ao certo que isso pode ser ignorado? Se você disser sim, espero que você o prove enviando-me o tamanho original da minha imagem mais recente ! (Ele deve estar disponível apenas para amigos e familiares - então você não, tio Goober ...)
Algum contexto: devo salientar que não estou tentando roubar fotos, estou tentando entender o quão seguras são as minhas, especificamente com relação a essa brecha de cercas geográficas que foi relatada hoje.
Respostas:
Fiz algumas investigações por conta própria, usando minha própria conta do flickr e um navegador não conectado.
Aqui está a página Todos os tamanhos de uma das minhas fotos .
Antes de alterar o "Quem pode acessar seus arquivos de imagem originais?" Na configuração Privacidade e permissões, um usuário genérico da Internet pode ver o link " Original " além dos outros tamanhos. Essa página tinha uma
<img>
tag vinculada a este URL . A página "Todos os tamanhos" também tinha um link que dizia Baixe o tamanho original desta foto . (Se você verificar os URLS, observe que há um_d
sufixo no nome do arquivo; o Flickr verá isso e acionará o cabeçalho HTTP que instrui o navegador a fazer o download em vez de exibir a imagem).Para comparação, veja a página de tamanho grande e o URL da imagem correspondente .
Em seguida, alterei a configuração de privacidade, limpei o cache no meu navegador não conectado e recuperei novamente os links. Aqui está o que eu encontrei:
Assim, uma vez que o URL do arquivo original é conhecido, não há como impedir que alguém baixe a versão original do arquivo (exceto para excluí-lo completamente ... e isso pode nem funcionar. Eu não tentei).
Uma última questão: qual é a probabilidade dos URLs do arquivo original? Aqui estão lado a lado:
Portanto, o sufixo (
_b
ou_o
) determina o tamanho, mas também há outro elemento no nome do arquivo que varia dependendo do tamanho. Você não pode simplesmente mudar o sufixo para virar os tamanhos. Aqui está o URL da versão Grande com o sufixo alterado para_o
; isso não funciona.Se eu fosse o Flickr, garantiria que esse elemento do meio fosse completamente aleatório por tamanho de foto e, portanto, inquestionável, exceto por ataques de força bruta. Tem 40 bits, então há muitas opções possíveis (2 ^ 40, ~ 1 trilhão). É muito improvável que alguém se preocupe em forçar esse segmento apenas para obter a versão em tamanho original de um arquivo ... quando eles já tiverem a versão grande .
Portanto, desde que você desative o recurso "Download de arquivo original" e não compartilhe os URLs das imagens originais , diria que o recurso do Flickr é bastante seguro. Se quebrar, é praticamente sua culpa.
fonte
Esta página (vinculada ao plugin do Firefox que o tecelão de faturas postou) faz um bom trabalho de resumir a situação, incluindo o "componente aleatório" no URL da imagem que mencionei na pergunta.
O autor observa:
"Não posso adivinhar" - ótimo! :) Mas então ele continua dizendo:
" Quase impossível" - não é tão bom! :( Mas suponho que ele apenas queira dizer que, com tempo e poder de processamento suficientes, você poderia quebrá-lo com um ataque de força bruta . Se assim for, isso é bom o suficiente para mim: eu aceito essas probabilidades. :)
fonte
O Flickr usa o protocolo da web não seguro (HTTP) por padrão, para que todas as imagens possam ser acessadas após o seqüestro de sessão de uma pessoa que pode acessá-las. Para o seqüestro de sessão, o invasor precisa ser capaz de escutar o tráfego de rede da vítima, por exemplo, acessando o mesmo ponto de acesso sem fio ou algum nó de rede intermediário. O risco tornou-se bastante significativo em locais públicos sem fio após o lançamento do Firesheep - um plugin do Firefox que pega automaticamente cookies que outras pessoas usam na mesma área sem fio e os apresenta para uso fácil.
Além disso, as imagens vêm com cabeçalhos que permitem caches intermediários da Web para mantê-los por anos. Portanto, obter acesso para navegar em um cache da Web também pode fornecer acesso a imagens originais que foram visualizadas através desse cache.
Não vou perseguir a conexão de rede ou os caches de seus amigos ou de seus amigos; portanto, não, não vou lhe enviar sua imagem original. Mas, para jogar pelo seguro, sua melhor aposta é não enviar imagens originais.
fonte
Se for exibido, é claro que você pode salvá-lo. Se os originais estiverem protegidos, não a menos que o URL seja conhecido. Bottom line é bastante seguro e não, eu não acho que pode ser baixado.
O plugin firefox do flickr-original parece inicialmente fazer isso (eu assumi passivamente), mas na verdade baixa um tamanho grande se você tiver protegido seus originais da exibição pública. Fiz o download de uma versão de 1024 x 580 da sua foto com este plugin.
fonte
O plug-in do Firefox Tamperdata permitirá a descoberta do URL protegido para a imagem. É trivial fazê-lo. A única camada de segurança parece ser obscuridade.
fonte
Aqui está a maneira mais fácil de fazer isso (usando o Safari) sem todo o jargão que vocês estão lançando por aí. Vá para a página todas as imagens. Depois de ativar o menu suspenso Revelação, vá para Mostrar Inspetor da Web. No lado esquerdo da janela do desenvolvedor, procure as imagens suspensas. Clique nele e procure a string com o número longo. Quando você clica nele, a imagem aparece na janela do desenvolvedor. Na extrema direita, você verá o URL da imagem. Copie e cole o URL em uma nova janela do navegador e a imagem aparece e pode ser baixada a partir daí. OU basta arrastar a imagem da janela do desenvolvedor. (Seu nome provavelmente será alterado para Desconhecido.
fonte