Flickr의 "원본 이미지 다운로드 비활성화"기능은 얼마나 안전합니까?


17

에서 플리커 개인 정보 설정 페이지 제목의 설정있다 "원본 이미지 파일을 액세스 할 수 있습니까?". "모든 사용자"이외의 다른 것으로 설정 한 경우 (예 : "나만"또는 "내 연락처") 권한이없는 사용자가 URL을 제공하지 않고 원본 이미지 에 계속 액세스 할 수 있습니까? (원본 사진이 1024px보다 크다고 가정하면 Large 버전과 다른 Original 버전이 있습니다. 또한 Creative Commons 라이센스 가없는 것으로 가정합니다 .)

브라우저에 이미지가 표시되면 결정적인 사용자가 브라우저에 방해가되는 불쾌감 (예 : JavaScript 차단기)에 관계없이 쉽게 다운로드 할 수 있다는 것을 잘 알고 있습니다. 그러나 나는 다음이 정확하다고 생각합니다.

  1. 권한이없는 사용자는 Flickr의 원본 크기 페이지 (예 : 이 페이지 ) 를 보려고하면 오류 페이지 만 표시됩니다 .

  2. 해당 페이지의 URL은 쉽게 추측 할 수 있지만 ( sizes/o/일반 사진 페이지 URL의 끝에 추가 하기 만하면 ) 실제 원본 이미지 파일 의 URL은 임의의 구성 요소를 가지며 쉽게 추측 할 수 없습니다.

있습니다 많은사람들 플리커 (Flickr)에 다른 곳에서 비활성화 다운로드 설정이 쓸모없는 말은,하지만 난 어떤 증거를 보지 못했다. 누구나 우회 할 수 있다는 것을 알고 있습니까? 예라고 대답하면 최신 이미지 의 원본 크기를 보내서이를 증명할 수 있습니다 . (이것은 친구와 가족에게만 제공되도록되어 있습니다. Goober 삼촌은 아닙니다.)

일부 맥락 : 나는 사진을 훔치려 고하지 않고, 특히 오늘보고 된 이 지오 펜스 허점 과 관련하여 광산이 얼마나 안전한지 이해하려고 노력하고 있습니다.


2
이것은 프로그래밍 질문이 아닙니다. 어떻게 할 수 있는지 묻지 않습니다 . 사진 질문입니다. 내 이미지가 Flickr에 안전한지 또는 그 반대의 증거가 있는지 알고 싶습니다.
Mark Whitaker

볼 수있는 이미지를 모두 다운로드 할 수 있으므로 차단을 시도하는 데 상당히 쓸모가 없습니다. Flickr를 해킹하는 데 시간을 들이지 않고 (그리고 내 계정과 감옥을 위험에 빠뜨리지 않고) 허가없이 원본을 검색 할 수 있는지 여부를 구체적으로 말하기는 쉽지 않습니다.
John Cavan

@ 존 네, 첫 문장이 맞습니다. 제 질문에도 똑같이 말했습니다. Flickr 해킹을 시도하지 말고 누군가 알려진 취약점에 대한 뉴스가 있는지 궁금합니다.
Mark Whitaker

@ 마크, 좋은 질문입니다.
bw

답변:


18

본인의 플리커 계정과 로그인하지 않은 브라우저를 사용하여 스스로 조사했습니다.

내 사진 중 하나에 대한 모든 크기 페이지는 다음과 같습니다 .

"원본 이미지 파일에 누가 액세스 할 수 있습니까?"를 변경하기 전에 개인 정보 및 권한에서 일반 인터넷 사용자 는 다른 크기 외에도 " 원본 "링크를 볼 수 있습니다 . 해당 페이지 에이 url에<img> 연결된 태그가 있습니다 . "모든 크기"페이지에도이 원본의 원본 크기 다운로드 라는 링크가 있습니다. (URL을 확인하면 파일 이름에 접미사 가 있다는 것을 참고 하십시오. Flickr에서이를보고 이미지를 표시하는 대신 브라우저로 다운로드하도록 지시하는 HTTP 헤더를 트리거합니다)._d

비교를 위해 큰 크기 페이지해당 이미지 URL이 있습니다.

그런 다음 개인 정보 설정을 변경하고 로그인하지 않은 브라우저에서 캐시를 지우고 링크를 다시 확인했습니다. 내가 찾은 것은 다음과 같습니다.

  • 원래 크기 페이지에 대한 링크가 이제 큰 크기 페이지로 리디렉션됩니다 . 합리적입니다.
  • 모든 크기 페이지에 예상대로 원본 크기 링크가 더 이상 없습니다.
  • 여전히 원본 크기 이미지다운로드 할 수있었습니다
    • 이것은 약간 놀랍습니다. 이미지가 포함 된 페이지에는 액세스 제한이 있지만 이미지 자체에는 보안이 없습니다 .
    • 웹 개발자로서 그들이 왜 그렇게했는지 이해할 수 있습니다. 이미지는 크고 정적이며 아마도 컨텐츠 전달 네트워크를 통해 제공됩니다. 이미지 파일의 권한을 확인하지 않는 것이 더 빠르고 효율적입니다. 그런 식으로 "멍청한"웹 서버에서 호스팅 할 수 있습니다.

그래서 원본 파일에 대한 URL이 알려진 후, 파일의 원래 버전 다운로드에서 정지 사람에게 방법은 없다 (완전히 삭제의 짧은 ... 그리고 조차 작동합니다. 내가 노력하지 않았어요 수 있음).

마지막 문제 : 원본 파일 URL이 얼마나 추측 가능한가? 여기에 나란히 있습니다 :

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

따라서 접미사 ( _b또는 _o)는 크기를 결정하지만 파일 이름에는 크기에 따라 다른 요소가 있습니다. 접미사를 뒤집어 크기를 바꿀 수는 없습니다. 여기의 전환 접미사와 대형 버전에 해당하는 URL 로는 _o; 작동하지 않습니다.

Flickr 인 경우 중간 크기의 요소가 사진 크기마다 완전히 임의적이어서 무차별 대입 공격을 제외하고는 의심 할 수 없는지 확인합니다. 40 비트 길이이므로 가능한 옵션 이 많이 있습니다 (2 ^ 40, ~ 1 Trillion). 이미 버전을 가지고있을 때 파일의 원래 크기 버전을 얻기 위해 해당 세그먼트를 무차별 대입하려고하는 사람은 거의 없을 것입니다 .

따라서 "원본 파일 다운로드"기능 을 해제하고 원본 이미지의 URL을 공유하지 않는 한 Flickr 기능은 매우 안전합니다. 그것이 깨지면 그것은 거의 당신 자신의 잘못입니다.


6
나의 "그것은 당신 자신의 잘못입니다"결론에는 한 가지 예외가 있습니다. @Imre에서 언급했듯이 Flickr는 일반적으로 비보안 HTTP 연결을 사용하므로 브라우저와 Flickr (회사, ISP) 사이의 모든 사용자가 URL을들을 수 있습니다. 원본 크기 페이지를 탐색하면 원본 크기 이미지 URL이 표시됩니다. 침입자는 이것을 스니핑하고 URL을 저장할 수 있습니다. 그러나 누군가 HTTP 트래픽을 수신중인 경우 IMO는 Flickr 원본을 안전하게 유지하는 것보다 더 큰 문제가 있습니다.
Craig Walker

링크를 제공해 주셔서 감사합니다. 캐싱 헤더를 지금 확인할 수있었습니다!
Imre

2
원본 크기 페이지를 찾아 볼 필요조차 없습니다. Flickr에서 무엇이든 탐색 하면 스니퍼가 방금 사용한 세션 쿠키로 자신을 도울 수 있습니다.
Imre

2
그것은 당신의 분석 접근법과 명확한 설명을 위해 +1입니다. 나는 원본 이미지의 URL이 인증되지 않은 (URL을 사람에게 즉, 사용 가능)임을 알지 못했다 - 내 질문에 암시 된 것 ( "여전히 가능하다 [...] 그것을 그들에게 URL을주는 사람없이? ")하지만 덕분에 명시 적으로 언급합니다. :)
Mark Whitaker

@ Mark Whitaker : 천만에요. 나는의 URL 사이의 차이를 명확하게 할 않았다 이미지 와의 URL 페이지 하나가 특히 ... 이미지를 포함 하지 부착 된 권한이 있습니다.
Craig Walker

3

이 페이지 ( Bill Weaver가 게시 한 Firefox 플러그인에서 링크 됨)는 질문에서 언급 한 이미지 URL의 "임의 구성 요소"를 포함하여 상황을 요약하는 데 도움이됩니다.

저자는 다음과 같이 말합니다.

즉, 더 작은 크기의 파일 이름을 얻는 데 어려움을 겪더라도 원본 사진의 파일 이름을 추측 할 수 없으며 이는 이미지 도난에 대해 걱정하는 사진가에게 희소식입니다.

"추측 할 수 없습니다"-훌륭합니다! :) 그러나 그는 계속해서 말합니다.

멋진 점은 Flickr가 파일 이름을 무작위로 지정한 후에 파일의 원래 크기에 대한 URL을 추측하는 것이 불가능 해졌다는 것입니다.

" 불가능한 옆에 "-그렇게 크지 않습니다! :( 그러나 그는 충분한 시간과 처리 능력이 있다면 무차별 대입 공격으로 그것을 부술 수 있음을 의미한다고 가정 합니다 . 그렇다면 나에게 충분합니다. 나는 그 확률을 취할 것입니다. :)


2
나는 당신이 게시 한 단일 이미지에 대한 무차별 대입 공격에 대해 걱정하지 않을 것입니다 (그들은 가치가 없다고 말할 수는 없습니다). 더 큰 관심은 (적어도 나를 위해) 다른 구멍이 발견되거나 플리커의 누군가가 실수를하고 잘못된 레버에 의존하거나 정책을 변경하는 것입니다 (심장의 변화, 다른 사람들과의 인수로 인해) 아이디어 등).
bw

2
불가능한 옆에있는 것은 아마도 불가능하지는 않지만 무작위 숫자 생성기를 크래킹하면 임의의 유전자 자체에 심각한 결함이 필요합니다 (불행히도 비슷한 일이 Debian에서 생각했습니다. debian.org/security/ 참조) 2008 / dsa-1571 ), 아마도 플리커 서버가 의심스러운 것으로 감지해야 할 추측이 눈에 띄게 필요할 것입니다.
프란체스코

지금 당신은 보상을위한 노력 / 위험의 영역에 있습니다. 그리고 나는 Flickr에 위험을 보증 할 많은 것들이 있는지 의심합니다. 그것은 이미지 품질의 평가가 아니며, 이미지를 재현하는 것이 노력과 위험이 덜하다는 평가 일뿐입니다. 그것은 또한 광고 산업에 의해 이루어졌습니다.
John Cavan

3

Flickr는 기본적으로 비보안 웹 프로토콜 (HTTP)을 사용하므로 액세스 할 수있는 사람으로부터 세션 하이재킹을 수행 한 후 모든 이미지에 액세스 할 수 있습니다. 세션 하이재킹의 경우 공격자는 예를 들어 동일한 무선 액세스 포인트 또는 일부 중간 네트워크 노드에 액세스하여 피해자의 네트워크 트래픽을 도청 할 수 있어야합니다. Firesheep 이 출시 된 후 공공 무선 지점에서 위험이 상당히 졌습니다. Firefox 플러그인은 다른 사람들이 같은 무선 영역에서 사용하는 쿠키를 자동으로 가져 와서 쉽게 사용할 수 있도록합니다.

또한 이미지에는 중간 웹 캐시가 몇 년 동안 보관할 수있는 헤더가 있습니다. 따라서 웹 캐시 찾아보기에 액세스하면 해당 캐시를 통해 본 원본 이미지에 액세스 할 수도 있습니다.

나는 당신이나 당신의 친구의 네트워크 연결이나 캐시를 쫓아 내지 않을 것입니다. 그래서 아닙니다. 나는 당신에게 원본 이미지를 보내지 않을 것입니다. 그러나 안전하게 재생하려면 가장 좋은 방법은 원본 이미지를 업로드하지 않는 것입니다.


4
Photo.SE는 또한 HTTP를 사용하므로 실제로이 게시물은 나 이외의 다른 사람이 작성했을 수도 있습니다.
Imre

2

표시되면 물론 저장할 수 있습니다. 원본이 보호 된 경우 URL을 알지 않는 한 그렇지 않습니다. 결론은 없다 매우 안전 하고 나는 그것을 다운로드 할 수 있다고 생각하지 않습니다.

플리커 - 원래 파이어 폭스 플러그인 (내가 수동적 그래서 가정)이 일을 처음 보이지만, 공용보기에서 원본을 보호 한 경우 실제로 큰 크기를 다운로드합니다. 이 플러그인으로 1024 x 580 버전의 사진을 다운로드했습니다.


원본이 허용되지 않도록 설정되어 있으면 아닙니다. URL 해킹이 제거되었으며 현재 최대 규모로 사용자를 안내합니다. 플러그인 작성자도 그렇게 말합니다.
John Cavan

1
흠 ... 네, 맞습니다, @ 존. 플러그인 이름에서 "원본"만을 판단하는 "순서"라고 말했습니다. :)
bw

@bill 1200px 원본 이미지를 다운로드 했습니까? 나는 그렇게 생각하지 않습니다 : 당신이 링크 된 페이지 " 주의 : 이것은 사진 작가가 '모든 권리 보유'로 표시하거나 다운로드를 비활성화 한 이미지에는 작동하지 않습니다." 1024px Large 버전을 사용했을 수도 있지만 질문은 Original 크기와 매우 관련이 있습니다.
Mark Whitaker

1
@Mark, 내가 말했듯이 1024 x 580 이미지를 다운로드했습니다. 어쩌면 나는 총을 뛰어 넘었고 대답에 대한 초기 패스가 그것을 밝히지 않았다. 그러나 1024는 다운로드 한 것입니다.
bw

1
예, 그렇게 보일 것입니다. :) 내가 알 수있는 것에서 플리커는 이미지의 소유권을 매우 심각하고 신중하게 공유, 공개 액세스 및 권리 사이의 미세한 선으로 안내합니다. 의견이 다르고 실수를 저 지르지 만 그것은 전반적인 결과입니다. 다른 한편으로는, 내가 업로드이 충분히 신뢰하지 않는 원래의 이미지를.
bw

-1

Firefox 플러그인 Tamperdata를 사용하면 이미지의 보호 된 URL을 검색 할 수 있습니다. 그렇게하는 것은 사소한 일입니다. 유일한 보안 계층은 모호한 것으로 보입니다.


3
정말? 이 이미지원본 (2400x1600) 크기 버전을 다운로드하여 증명할 수 있습니까 ? 질문을 제대로 읽지 못했다고 생각합니다.
Mark Whitaker

-3

여기에 여러분이 던지는 모든 전문 용어 없이이 작업을 수행하는 쉬운 방법이 있습니다 (Safari 사용). 모든 이미지 페이지로 이동하십시오. 현상 드롭 다운 메뉴를 활성화하면 웹 검사기 표시로 이동하십시오. 개발자 창의 왼쪽에서 이미지 드롭 다운을 찾으십시오. 그것을 클릭하고 긴 숫자가있는 문자열을 찾으십시오. 이를 클릭하면 이미지가 개발자 창에 나타납니다. 가장 오른쪽에 이미지 URL이 표시됩니다. URL을 새 브라우저 창에 복사하여 붙여 넣으면 이미지가 나타나고 여기에서 다운로드 할 수 있습니다. 또는 개발자 창에서 이미지를 드래그하십시오. 이름이 알 수 없음으로 변경되었을 수 있습니다.

내 방법론의 스크린 샷


3
질문을 잘못 읽거나 문제를 오해했습니다. 나는 분명히 말했다 "나는 이미지가 브라우저에 나타난되면, 정해진 사용자가 쉽게 다운로드 할 수있는 것을 잘 알고 있어요" . 원본이 아닌 큰 크기 만 다운로드했습니다. 질문을 다시 읽으십시오. 그러면 내가 무엇을 요구했는지 알게 될 것입니다. 불행히도 "jargon"은 이유가 있습니다!
Mark Whitaker
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.