Flickr의 "원본 이미지 다운로드 비활성화"기능은 얼마나 안전합니까?

에서 플리커 개인 정보 설정 페이지 제목의 설정있다 "원본 이미지 파일을 액세스 할 수 있습니까?". "모든 사용자"이외의 다른 것으로 설정 한 경우 (예 : "나만"또는 "내 연락처") 권한이없는 사용자가 URL을 제공하지 않고 원본 이미지 에 계속 액세스 할 수 있습니까? (원본 사진이 1024px보다 크다고 가정하면 Large 버전과 다른 Original 버전이 있습니다. 또한 Creative Commons 라이센스 가없는 것으로 가정합니다 .)

브라우저에 이미지가 표시되면 결정적인 사용자가 브라우저에 방해가되는 불쾌감 (예 : JavaScript 차단기)에 관계없이 쉽게 다운로드 할 수 있다는 것을 잘 알고 있습니다. 그러나 나는 다음이 정확하다고 생각합니다.

1. 권한이없는 사용자는 Flickr의 원본 크기 페이지 (예 : 이 페이지 ) 를 보려고하면 오류 페이지 만 표시됩니다 .

2. 해당 페이지의 URL은 쉽게 추측 할 수 있지만 ( sizes/o/일반 사진 페이지 URL의 끝에 추가 하기 만하면 ) 실제 원본 이미지 파일 의 URL은 임의의 구성 요소를 가지며 쉽게 추측 할 수 없습니다.

있습니다 많은 의 사람들 플리커 (Flickr)에 다른 곳에서 비활성화 다운로드 설정이 쓸모없는 말은,하지만 난 어떤 증거를 보지 못했다. 누구나 우회 할 수 있다는 것을 알고 있습니까? 예라고 대답하면 최신 이미지 의 원본 크기를 보내서이를 증명할 수 있습니다 . (이것은 친구와 가족에게만 제공되도록되어 있습니다. Goober 삼촌은 아닙니다.)

일부 맥락 : 나는 사진을 훔치려 고하지 않고, 특히 오늘보고 된 이 지오 펜스 허점 과 관련하여 광산이 얼마나 안전한지 이해하려고 노력하고 있습니다.

본인의 플리커 계정과 로그인하지 않은 브라우저를 사용하여 스스로 조사했습니다.

내 사진 중 하나에 대한 모든 크기 페이지는 다음과 같습니다 .

"원본 이미지 파일에 누가 액세스 할 수 있습니까?"를 변경하기 전에 개인 정보 및 권한에서 일반 인터넷 사용자 는 다른 크기 외에도 " 원본 "링크를 볼 수 있습니다 . 해당 페이지 에이 url에<img> 연결된 태그가 있습니다 . "모든 크기"페이지에도이 원본의 원본 크기 다운로드 라는 링크가 있습니다. (URL을 확인하면 파일 이름에 접미사 가 있다는 것을 참고 하십시오. Flickr에서이를보고 이미지를 표시하는 대신 브라우저로 다운로드하도록 지시하는 HTTP 헤더를 트리거합니다)._d

비교를 위해 큰 크기 페이지 와 해당 이미지 URL이 있습니다.

그런 다음 개인 정보 설정을 변경하고 로그인하지 않은 브라우저에서 캐시를 지우고 링크를 다시 확인했습니다. 내가 찾은 것은 다음과 같습니다.

• 원래 크기 페이지에 대한 링크가 이제 큰 크기 페이지로 리디렉션됩니다 . 합리적입니다.
• 모든 크기 페이지에 예상대로 원본 크기 링크가 더 이상 없습니다.
• 여전히 원본 크기 이미지 를 다운로드 할 수있었습니다
  • 이것은 약간 놀랍습니다. 이미지가 포함 된 페이지에는 액세스 제한이 있지만 이미지 자체에는 보안이 없습니다 .
  • 웹 개발자로서 그들이 왜 그렇게했는지 이해할 수 있습니다. 이미지는 크고 정적이며 아마도 컨텐츠 전달 네트워크를 통해 제공됩니다. 이미지 파일의 권한을 확인하지 않는 것이 더 빠르고 효율적입니다. 그런 식으로 "멍청한"웹 서버에서 호스팅 할 수 있습니다.

그래서 원본 파일에 대한 URL이 알려진 후, 파일의 원래 버전 다운로드에서 정지 사람에게 방법은 없다 (완전히 삭제의 짧은 ... 그리고 그 조차 작동합니다. 내가 노력하지 않았어요 수 있음).

마지막 문제 : 원본 파일 URL이 얼마나 추측 가능한가? 여기에 나란히 있습니다 :

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

따라서 접미사 ( _b또는 _o)는 크기를 결정하지만 파일 이름에는 크기에 따라 다른 요소가 있습니다. 접미사를 뒤집어 크기를 바꿀 수는 없습니다. 여기의 전환 접미사와 대형 버전에 해당하는 URL 로는 _o; 작동하지 않습니다.

Flickr 인 경우 중간 크기의 요소가 사진 크기마다 완전히 임의적이어서 무차별 대입 공격을 제외하고는 의심 할 수 없는지 확인합니다. 40 비트 길이이므로 가능한 옵션 이 많이 있습니다 (2 ^ 40, ~ 1 Trillion). 이미 큰 버전을 가지고있을 때 파일의 원래 크기 버전을 얻기 위해 해당 세그먼트를 무차별 대입하려고하는 사람은 거의 없을 것입니다 .

따라서 "원본 파일 다운로드"기능 을 해제하고 원본 이미지의 URL을 공유하지 않는 한 Flickr 기능은 매우 안전합니다. 그것이 깨지면 그것은 거의 당신 자신의 잘못입니다.

이 페이지 ( Bill Weaver가 게시 한 Firefox 플러그인에서 링크 됨)는 질문에서 언급 한 이미지 URL의 "임의 구성 요소"를 포함하여 상황을 요약하는 데 도움이됩니다.

저자는 다음과 같이 말합니다.

즉, 더 작은 크기의 파일 이름을 얻는 데 어려움을 겪더라도 원본 사진의 파일 이름을 추측 할 수 없으며 이는 이미지 도난에 대해 걱정하는 사진가에게 희소식입니다.

"추측 할 수 없습니다"-훌륭합니다! :) 그러나 그는 계속해서 말합니다.

멋진 점은 Flickr가 파일 이름을 무작위로 지정한 후에 파일의 원래 크기에 대한 URL을 추측하는 것이 불가능 해졌다는 것입니다.

" 불가능한 옆에 "-그렇게 크지 않습니다! :( 그러나 그는 충분한 시간과 처리 능력이 있다면 무차별 대입 공격으로 그것을 부술 수 있음을 의미한다고 가정 합니다 . 그렇다면 나에게 충분합니다. 나는 그 확률을 취할 것입니다. :)

Flickr는 기본적으로 비보안 웹 프로토콜 (HTTP)을 사용하므로 액세스 할 수있는 사람으로부터 세션 하이재킹을 수행 한 후 모든 이미지에 액세스 할 수 있습니다. 세션 하이재킹의 경우 공격자는 예를 들어 동일한 무선 액세스 포인트 또는 일부 중간 네트워크 노드에 액세스하여 피해자의 네트워크 트래픽을 도청 할 수 있어야합니다. Firesheep 이 출시 된 후 공공 무선 지점에서 위험이 상당히 커 졌습니다. Firefox 플러그인은 다른 사람들이 같은 무선 영역에서 사용하는 쿠키를 자동으로 가져 와서 쉽게 사용할 수 있도록합니다.

또한 이미지에는 중간 웹 캐시가 몇 년 동안 보관할 수있는 헤더가 있습니다. 따라서 웹 캐시 찾아보기에 액세스하면 해당 캐시를 통해 본 원본 이미지에 액세스 할 수도 있습니다.

나는 당신이나 당신의 친구의 네트워크 연결이나 캐시를 쫓아 내지 않을 것입니다. 그래서 아닙니다. 나는 당신에게 원본 이미지를 보내지 않을 것입니다. 그러나 안전하게 재생하려면 가장 좋은 방법은 원본 이미지를 업로드하지 않는 것입니다.

표시되면 물론 저장할 수 있습니다. 원본이 보호 된 경우 URL을 알지 않는 한 그렇지 않습니다. 결론은 없다 매우 안전 하고 더 나는 그것을 다운로드 할 수 있다고 생각하지 않습니다.

플리커 - 원래 파이어 폭스 플러그인 (내가 수동적 그래서 가정)이 일을 처음 보이지만, 공용보기에서 원본을 보호 한 경우 실제로 큰 크기를 다운로드합니다. 이 플러그인으로 1024 x 580 버전의 사진을 다운로드했습니다.

Firefox 플러그인 Tamperdata를 사용하면 이미지의 보호 된 URL을 검색 할 수 있습니다. 그렇게하는 것은 사소한 일입니다. 유일한 보안 계층은 모호한 것으로 보입니다.

여기에 여러분이 던지는 모든 전문 용어 없이이 작업을 수행하는 쉬운 방법이 있습니다 (Safari 사용). 모든 이미지 페이지로 이동하십시오. 현상 드롭 다운 메뉴를 활성화하면 웹 검사기 표시로 이동하십시오. 개발자 창의 왼쪽에서 이미지 드롭 다운을 찾으십시오. 그것을 클릭하고 긴 숫자가있는 문자열을 찾으십시오. 이를 클릭하면 이미지가 개발자 창에 나타납니다. 가장 오른쪽에 이미지 URL이 표시됩니다. URL을 새 브라우저 창에 복사하여 붙여 넣으면 이미지가 나타나고 여기에서 다운로드 할 수 있습니다. 또는 개발자 창에서 이미지를 드래그하십시오. 이름이 알 수 없음으로 변경되었을 수 있습니다.