फ्लिकर की "मूल छवि की अक्षम डाउनलोड" सुविधा कितनी सुरक्षित है?

में फ़्लिकर गोपनीयता सेटिंग पृष्ठ पर एक सेटिंग हकदार नहीं है "कौन अपनी मूल छवि फ़ाइलों तक पहुँच सकते हैं?"। अगर मैं इसे "एनी" (उदाहरण के लिए "केवल आप" या "आपके कॉन्टैक्ट्स") के अलावा किसी और चीज़ पर सेट करता हूं, तो क्या अनधिकृत उपयोगकर्ता के लिए मूल छवि को एक्सेस करने के लिए यह संभव है कि कोई बिना इसके लिए उन्हें URL दे? (मान लें कि मेरा मूल फ़ोटो 1024px से बड़ा है, इसलिए बड़े संस्करण से अलग एक मूल संस्करण है। यह भी मान लें कि यह लाइसेंस प्राप्त नहीं है ।)

मुझे अच्छी तरह से पता है कि एक बार उनके ब्राउज़र में एक छवि दिखाई देने के बाद, एक निर्धारित उपयोगकर्ता आसानी से इसे डाउनलोड कर सकता है, चाहे वह किसी भी कीटाणुनाशक (उदाहरण के लिए जावास्क्रिप्ट ब्लॉकर्स) हो जो ब्राउज़र उनके रास्ते में डालने की कोशिश करता है। हालाँकि, मेरा मानना ​​है कि निम्नलिखित सही हैं:

1. यदि वे फ़्लिकर पर मूल आकार पृष्ठ (जैसे यह पृष्ठ ) देखने का प्रयास करते हैं तो एक अनधिकृत उपयोगकर्ता को केवल एक त्रुटि पृष्ठ दिखाई देगा ।

2. हालाँकि उस पृष्ठ का URL आसानी से अनुमान sizes/o/लगाने योग्य है (बस नियमित फ़ोटो पेज URL के अंत में जोड़ें ), वास्तविक मूल छवि फ़ाइल के URL में एक यादृच्छिक घटक होता है और आसानी से अनुमान नहीं लगाया जा सकता है।

कर रहे हैं बहुत सारे के लोगों फ़्लिकर पर और कहीं और कह अक्षम डाउनलोड सेटिंग बेकार है, लेकिन मैं कोई सबूत नहीं देखा है। क्या किसी को कुछ पता है कि यह बाईपास किया जा सकता है? यदि आप हां कहते हैं, तो मैं आपसे मेरी नवीनतम छवि का मूल आकार भेजकर इसे साबित करने की अपेक्षा करूंगा ! (यह केवल मित्रों और परिवार के लिए उपलब्ध होने के लिए है - इसलिए आप नहीं, अंकल गोबर ...)

कुछ संदर्भ: मुझे यह इंगित करना चाहिए कि मैं फ़ोटो चुराने के लिए नहीं देख रहा हूं, मैं यह समझने की कोशिश कर रहा हूं कि मेरा खदान कितना सुरक्षित है, विशेष रूप से इस भू-दृश्य खामियों के संबंध में जो आज रिपोर्ट किया गया था।

मैंने अपने दम पर कुछ जांच की, अपने स्वयं के फ़्लिकर खाते और ब्राउज़र में गैर-लॉग का उपयोग किया।

यहाँ मेरी तस्वीरों में से एक के लिए ऑल साइज़ पेज है ।

मुझे बदलने से पहले "आपकी मूल छवि फ़ाइलों को कौन एक्सेस कर सकता है?" गोपनीयता और अनुमतियों में सेटिंग, एक सामान्य इंटरनेट उपयोगकर्ता अन्य आकारों के अलावा " मूल " लिंक देख सकता था । उस पेज में एक <img>टैग था जो इस url से जुड़ा था । "ऑल साइज़्स" पेज में एक लिंक भी था जिसमें कहा गया था कि इस तस्वीर का मूल आकार डाउनलोड करें । (यदि आप URLS की जांच करते हैं, तो ध्यान दें कि _dफ़ाइल नाम पर एक प्रत्यय है; फ़्लिकर इसे देखेगा और HTTP हेडर को ट्रिगर करेगा जो ब्राउज़र को छवि प्रदर्शित करने के बजाय डाउनलोड करने के लिए कहता है)।

तुलना के लिए, यहां बड़े आकार का पृष्ठ और संबंधित छवि URL है ।

फिर मैंने गोपनीयता सेटिंग बदल दी, अपने गैर-लॉग-इन ब्राउज़र पर कैश को साफ़ कर दिया और लिंक को पुनः प्राप्त किया। यहाँ मैं क्या पाया:

• मूल आकार पृष्ठ का लिंक अब बड़े आकार के पृष्ठ पर भेज देता है । यह उचित है।
• सभी आकार पृष्ठ में मूल आकार के लिंक नहीं थे, जैसा कि अपेक्षित था।
• मैं अभी भी मूल आकार की छवि डाउनलोड करने में सक्षम था
  • यह थोड़ा आश्चर्य की बात है। इसका मतलब है कि, जबकि छवियों वाले पृष्ठों पर एक्सेस प्रतिबंध है, छवियों पर कोई सुरक्षा नहीं है ।
  • एक वेब डेवलपर के रूप में मैं समझ सकता हूं कि उन्होंने ऐसा क्यों किया। चित्र बड़े और स्थिर हैं और संभवतः एक सामग्री वितरण नेटवर्क के माध्यम से परोसा जाता है। यह छवि फ़ाइलों के लिए अनुमतियों की जांच नहीं करने के लिए तेज़ / अधिक कुशल है; आप बस उन्हें उस तरह से एक "गूंगा" वेब सर्वर पर होस्ट कर सकते हैं।

तो, एक बार मूल फ़ाइल के लिए URL में जाना जाता है, वहाँ फ़ाइल के मूल संस्करण को डाउनलोड करने से रोकने के किसी को कोई रास्ता नहीं है (यह पूरी तरह हटाने की कमी ... और है कि नहीं भी काम करते हैं। मैं कोशिश नहीं की सकती है)।

एक अंतिम मुद्दा: मूल फ़ाइल URLS कितने अनुमानित हैं? यहाँ वे अगल-बगल हैं:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

तो, प्रत्यय ( _bया _o) आकार निर्धारित करता है, लेकिन फ़ाइल नाम में एक और तत्व भी होता है जो आकार के आधार पर भिन्न होता है। आप प्रत्यय को फ्लिप आकार में नहीं बदल सकते। यहाँ प्रत्यय के साथ बड़े संस्करण के लिए URL दिया गया है _o; यह काम नहीं करता है।

अगर मैं फ़्लिकर था, तो मैं यह सुनिश्चित करूँगा कि मध्य तत्व पूरी तरह से प्रति फोटो आकार में यादृच्छिक था, और इसलिए क्रूर बल हमले को छोड़कर यह अविश्वसनीय था। यह 40 बिट लंबा है, इसलिए संभावित विकल्पों में बहुत कुछ (2 ^ 40, ~ 1 ट्रिलियन) है। यह बहुत संभावना नहीं है कि कोई भी उस सेगमेंट को ब्रूट-फोर्स करने के लिए परेशान करेगा, बस एक फ़ाइल का मूल आकार संस्करण प्राप्त करने के लिए ... जब उनके पास पहले से ही बड़ा संस्करण होगा।

इसलिए, जब तक आपने "मूल फ़ाइल डाउनलोड" सुविधा बंद कर दी है और आप मूल चित्रों के URL को साझा नहीं करते हैं , मैं कहूंगा कि फ़्लिकर सुविधा बहुत सुरक्षित है। यदि यह टूट जाता है, तो यह आपकी अपनी गलती है।

यह पृष्ठ (फ़ायरफ़ॉक्स प्लगइन से जुड़ा है जो बिल बुनकर पोस्ट करता है) स्थिति को संक्षेप में प्रस्तुत करने का एक अच्छा काम करता है, जिसमें छवि URL में "यादृच्छिक घटक" शामिल है, जिसका मैंने सवाल किया था।

लेखक नोट करता है:

इसका मतलब यह है कि भले ही आप छोटे आकारों में से किसी एक के लिए फ़ाइल नाम प्राप्त करने की समस्या के लिए जाते हों, आप मूल फ़ोटो के फ़ाइल नाम का अनुमान नहीं लगा सकते हैं , और छवि चोरी के बारे में चिंतित फोटोग्राफरों के लिए यह बहुत अच्छी खबर है।

"अनुमान नहीं लगा सकते" - महान! :) लेकिन फिर उसने कहा:

अच्छी बात यह है कि फ़्लिकर ने फ़ाइल नामों को यादृच्छिक रूप से बदलने के बाद, फ़ाइल के मूल आकार के लिए URL का अनुमान लगाना असंभव हो गया ।

" असंभव के आगे " - इतना महान नहीं! :( लेकिन मुझे लगता है कि वह सिर्फ इसका मतलब है कि पर्याप्त समय और प्रसंस्करण शक्ति दिया है आप इसे एक क्रूर-बल के हमले के साथ दरार कर सकते हैं । यदि हां, तो यह मेरे लिए काफी अच्छा है: मैं उन बाधाओं को ले जाऊंगा। :)

फ़्लिकर डिफ़ॉल्ट रूप से गैर-सुरक्षित वेब प्रोटोकॉल (HTTP) का उपयोग करता है, इसलिए किसी व्यक्ति से सत्र अपहरण के बाद किसी भी चित्र को एक्सेस किया जा सकता है जो उन्हें एक्सेस कर सकता है। सत्र अपहरण के लिए, हमलावर को उसी वायरलेस एक्सेस प्वाइंट या कुछ मध्यवर्ती नेटवर्क नोड तक पहुंचकर पीड़ित के नेटवर्क ट्रैफ़िक पर छिपकर बात करने में सक्षम होना चाहिए। Firesheep जारी होने के बाद सार्वजनिक वायरलेस स्पॉट में जोखिम काफी महत्वपूर्ण हो गया है - एक फ़ायरफ़ॉक्स प्लगइन जो स्वचालित रूप से कुकीज़ को अन्य लोगों को उसी वायरलेस क्षेत्र में उपयोग करता है और उन्हें आसान उपयोग के लिए प्रस्तुत करता है।

इसके अलावा, चित्र हेडर के साथ आते हैं जो मध्यवर्ती वेब कैश को सालों तक रखने की अनुमति देते हैं। इसलिए वेब कैश ब्राउज़ करने के लिए एक्सेस प्राप्त करना उन मूल छवियों तक पहुंच प्रदान कर सकता है जिन्हें उस कैश के माध्यम से देखा गया है।

मैं आपके या आपके मित्रों के नेटवर्क कनेक्शन या कैश का पीछा नहीं करने जा रहा हूं, इसलिए नहीं, मैं आपको आपकी मूल छवि नहीं भेजने जा रहा हूं। लेकिन सुरक्षित खेलने के लिए, आपकी सबसे अच्छी शर्त मूल छवियों को अपलोड करना नहीं है।

यदि यह प्रदर्शित होता है, तो निश्चित रूप से आप इसे सहेज सकते हैं। यदि मूल सुरक्षित हैं, तो तब तक नहीं जब तक कि URL ज्ञात न हो। लब्बोलुआब यह है बहुत सुरक्षित और कोई मुझे नहीं लगता कि यह डाउनलोड किया जा सकता है।

फ़्लिकर-मूल फ़ायरफ़ॉक्स प्लगइन यह करने के लिए (मैं निष्क्रिय इसलिए ग्रहण) पहली बार में लगता है, लेकिन वास्तव में अगर आप जनता के देखने से अपने मूल संरक्षित किया है बड़े आकार डाउनलोड करता है। मैंने इस प्लगइन के साथ आपकी फ़ोटो का 1024 x 580 संस्करण डाउनलोड किया है।

फ़ायरफ़ॉक्स प्लगइन Tamperdata छवि के लिए संरक्षित यूआरएल की खोज की अनुमति देगा। ऐसा करना तुच्छ है। सुरक्षा की एकमात्र परत अस्पष्टता प्रतीत होती है।

यह सब करने के लिए आसान तरीका है (सफारी का उपयोग करके) सभी शब्दजाल के बिना आप लोग वहां से बाहर निकाल रहे हैं। सभी छवियों पृष्ठ पर जाएं। वेब इंस्पेक्टर को दिखाने के लिए एक बार जब आप अपना विकसित ड्रॉप डाउन मेनू सक्षम कर लेते हैं। डेवलपर विंडो के बाईं ओर, छवियों को नीचे देखें। उस पर क्लिक करें और लंबी संख्या के साथ स्ट्रिंग देखें। जब आप उस पर क्लिक करते हैं, तो छवि डेवलपर विंडो में दिखाई देगी। दाईं ओर आपको छवि URL दिखाई देगा। URL को एक नई ब्राउज़र विंडो में कॉपी और पेस्ट करें और छवि दिखाई देती है और वहां से डाउनलोड की जा सकती है। या बस डेवलपर विंडो से छवि खींचें। (संभवतः इसका नाम अज्ञात में बदल जाएगा।