Flickrの「オリジナルイメージのダウンロードを無効にする」機能はどれくらい安全ですか?


17

Flickrのプライバシー設定ページ題し設定があります「あなたの元の画像ファイルにアクセスすることができますか?」。これを「全員」以外に設定した場合(「あなただけ」や「あなたの連絡先」など)、許可されていないユーザーがURLを渡さずに元の画像にアクセスすることは可能ですか?(私の元の写真は1024pxよりも大きいと仮定します。そのため、ラージバージョンとは異なるオリジナルバージョンがあります。また、クリエイティブコモンズライセンスではないものとします。)

ブラウザに画像が表示されると、ブラウザが邪魔しようとする阻害要因(JavaScriptブロッカーなど)に関係なく、特定のユーザーが簡単にダウンロードできることをよく知っています。しかし、私は次のことが正しいと信じています:

  1. 許可されていないユーザーは、Flickrで元のサイズのページ(このページなど)を表示しようとすると、エラーページが表示されるだけです。

  2. そのページのURLは簡単に推測できます(sizes/o/通常の写真ページのURLの最後に追加するだけです)が、実際の元の画像ファイルの URLにはランダムな要素があり、簡単に推測することはできません。

ありますたくさん人々 Flickrのは、他の場所無効にダウンロード設定は無用ですが、私はすべての証拠を見ていないと言って。誰かがそれをバイパスできることを確実に知っていますか?「はい」と答えた場合は、最新の画像の元のサイズを送って証明することを期待します!(それは友人と家族だけが利用できるようになっている-だから、おじさん、グーバーおじさん...)

いくつかのコンテキスト:写真を盗むつもりはないことを指摘する必要があります。特に、今日報告されたこのジオフェンスの抜け穴に関して、鉱山の安全性を理解しようとしています。


2
これはプログラミングの質問ではないことに注意してください。私はそれがどのように行われるのを尋ねていません。それは写真の質問です。自分の画像がFlickrで安全かどうか、または反対の証拠があるかどうかを知りたいです。
マーク・ウィテカー

あなたが私たちに見せることを許すどんな画像でもダウンロードできるので、ブロックを試すのはかなり役に立たない。Flickrをハッキングしようとする時間を費やさずに(そして私のアカウント、そして刑務所を危険にさらす)、オリジナルを許可なく取得できるかどうかを明確に言うのは容易ではありません。
ジョンキャバン

@Johnはい、あなたの最初の文は正しいです-私は私の質問で同じことを述べました。私は誰にもFlickrをハッキングするように頼んでいるのではなく、既知の脆弱性のニュースを誰かが見ているのではないかと思っているだけです。
マーク・ウィテカー

@マーク、いい質問です。
-bw

回答:


18

独自のflickrアカウントとログインしていないブラウザーを使用して、独自に調査を行いました。

これが私の写真のすべてのサイズのページです

私が「元の画像ファイルにアクセスできる人」を変更する前に。プライバシーと権限の設定では、一般的なインターネットユーザーは、他のサイズに加えて「オリジナル」リンクを見ることができます。そのページには、このurlに<img>リンクされたタグがありました。「すべてのサイズ」ページには、この写真の元のサイズをダウンロードするというリンクもありました。(URLを確認する場合、ファイル名にサフィックスがあることに注意してください。Flickrはこれを確認し、画像を表示する代わりにダウンロードするようブラウザに指示するHTTPヘッダーをトリガーします)。_d

比較のために、ここに大きなサイズのページ対応する画像URLを示します

その後、プライバシー設定を変更し、ログインしていないブラウザーのキャッシュをクリアし、リンクを再チェックしました。私が見つけたものは次のとおりです。

  • 元のサイズのページへリンクは、大きなサイズのページにリダイレクトされます。それは合理的です。
  • 予想どおり、[すべてのサイズ]ページに[元のサイズ]リンクがなくなりました。
  • まだ元のサイズの画像ダウンロードできました
    • これは少し驚くべきことです。つまり、画像を含むページにはアクセス制限がありますが、画像自体にはセキュリティがありません
    • ウェブ開発者として、私は彼らがおそらくこれをした理由を理解できます。画像は大きく静的であり、おそらくコンテンツ配信ネットワーク経由で提供されます。画像ファイルのアクセス許可をチェックしない方が高速/効率的です。単純に「ダム」Webサーバーでホストすることができます。

だから、元のファイルのURLがわかれば、ファイルの元のバージョンのダウンロードからストップ誰かに方法はありません(それを完全に削除する短いが...そしてそれがないにも仕事。私は試していない場合があります)。

最後の問題:元のファイルのURLはどの程度推測可能か?ここでそれらは隣り合っています:

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

そのため、サフィックス(_bまたは_o)がサイズを決定しますが、ファイル名にはサイズによって異なる別の要素もあります。接尾辞を変更してサイズを反転することはできません。ここだ切り替えサフィックスを持つ大規模なバージョンのためのURLには_o、機能しません。

私がFlickrだった場合、その中間要素が写真サイズごとに完全にランダムであり、したがってブルートフォース攻撃を除いて推測できないことを確認します。長さは40ビットであるため、可能なオプションは多数(2 ^ 40、約1兆)あります。それは、誰もが、彼らがすでに持っているときだけ...ファイルの元のサイズのバージョンを取得するには、セグメントというブルートフォースにわざわざ非常に低いのです大きなバージョンを。

したがって、「元のファイルのダウンロード」機能オフにし、元の画像のURLを共有しない限り、Flickr機能は非常に安全であると言えます。それが壊れた場合、それはほとんどあなた自身の責任です。


6
「それはあなた自身の責任です」という結論には例外が1つあります。@Imreが述べたように、Flickrは通常、非セキュアHTTP接続を使用します。つまり、ブラウザーとFlickr(会社、ISP)の間の誰でもURLをリッスンできます。[元のサイズ]ページを参照すると、元のサイズの画像のURLが取得されます。攻撃者はこれを盗聴し、URLを保存する可能性があります。ただし、誰かがあなたのHTTPトラフィックをリッスンしている場合、IMOはFlickrのオリジナルを安全に保つよりも大きな問題を抱えています。
クレイグウォーカー

リンクを提供してくれてありがとう、今、キャッシュヘッダーを確認することができました!
イムレ

2
元のサイズのページを閲覧する必要さえありません。Flickrで何でも閲覧すると、スニファーは、今使用したセッションCookieを手伝うことができます。
イムレ

2
それは素晴らしい答えです。分析的アプローチと明確な説明のために+1。元の画像のURLが認証されていない(URLを持っている人なら誰でも利用できる)ことを知っていました-それは私の質問に暗示されています(「誰かがURLを渡さなくても可能ですか?」)明示的に言及します。:)
マーク・ウィテカー

@マーク・ウィテカー:どういたしまして。私はのURLの違い明確にしたかった画像とのURL のページ 1が特にとして...画像が含まれていない添付の権限を持っています。
クレイグウォーカー

3

このページbill weaverが投稿したFirefoxプラグインからリンクされています)は、質問で述べた画像URLの「ランダムなコンポーネント」など、状況を要約するのに適しています。

著者は次のように述べています。

これは、小さいサイズのファイル名を取得する手間がかかっても、元の写真のファイル名を推測できないことを意味します。これは、画像の盗難を心配する写真家にとって素晴らしいニュースです。

「推測できません」-すばらしい!:)しかし、彼は言うことを続けます:

クールなことは、Flickrがファイル名をランダム化した後、ファイルの元のサイズのURLを推測することがほとんど不可能になったことです。

「不可能の」-そんなに素晴らしいものではありません!:(しかし、彼は、十分な時間と処理能力があれば、ブルートフォース攻撃でそれをクラックできることを意味していると思います。


2
投稿する1つの画像に対するブルートフォース攻撃については心配しません(それが価値がないと言っているわけではありません:)。大きな懸念(少なくとも私にとって)は、他の穴が発見された場合、flickrの誰かが間違いを犯して間違ったレバーに頼った場合、または彼らがポリシーを変更した場合です(心の変化、他の人の獲得による)アイデアなど)。
体重

2
不可能は不可能ではない可能性がありますが、厳密には不可能ではありませんが、乱数ジェネレーターをクラックするには、乱数生成自体に重大な欠陥が必要です(不可能ではありませんが、Debianでも同様のことが起こりました。debian.org/ security / 2008 / dsa-1571)、おそらくプロセスで、flickrサーバーが疑わしいと検出するはずの顕著な数の推測が必要です。
フランチェスコ

今、あなたは報酬の努力/リスクの領域にいます。Flickrにはリスクを正当化する多くのものがあるとは思いません。これは画像品質の評価ではなく、画像の再作成が労力とリスクを大幅に軽減できる可能性があるという評価にすぎません。広告業界でも行われています。
ジョンキャバン

3

Flickrはデフォルトで非セキュアWebプロトコル(HTTP)を使用するため、画像にアクセスできる人からセッションハイジャックを実行した後、画像にアクセスできます。セッションハイジャックの場合、攻撃者は、同じワイヤレスアクセスポイントまたは中間ネットワークノードにアクセスするなどして、被害者のネットワークトラフィックを盗聴できる必要があります。Firesheepがリリースされた後、パブリックワイヤレススポットではリスクが非常に大きくなりました。Firefoxプラグインは、同じワイヤレスエリアで他の人が使用するCookieを自動的に取得し、簡単に使用できるようにします。

また、画像にはヘッダーが付属しているため、中間のWebキャッシュで何年も保持できます。そのため、Webキャッシュを参照するためのアクセスを取得すると、そのキャッシュを介して表示された元の画像へのアクセスも提供される場合があります。

あなたやあなたの友人のネットワーク接続やキャッシュを追いかけるつもりはないので、元の画像を送信するつもりはありません。しかし、安全にプレイするための最善の策は、元の画像をアップロードしないことです。


4
Photo.SEもそう実際にこのポストは私よりも他の誰かによって書かれている可能性があり、HTTPを使用しています:)
イムレ

2

表示されている場合は、もちろん保存できます。オリジナルが保護されている場合、URLがわからない限り保護されません。ボトムラインは、かなり確保していない私はそれをダウンロードすることができないと思います。

FlickrのオリジナルFirefoxのプラグインは、(私は受動的にそう仮定)これを実行するために最初に思えるが、あなたはパブリックビューイングからあなたの原稿を保護した場合、実際に大きなサイズをダウンロードします。このプラグインを使用して、1024 x 580バージョンの写真をダウンロードしました。


オリジナルが許可しないように設定されている場合ではありません。URLハックは削除され、現在利用可能な最大のものに跳ね返されます。プラグインの作成者も同様です。
ジョンキャバン

1
うーん...はい、あなたは正しいです、@ジョン。プラグイン名の「オリジナル」のみで判断する「目的」と言いました。:)
bw

@bill 1200pxのオリジナル画像をダウンロードしましたか?私はそうは思わない:あなたがリンクしたページは「警告:これは写真家が「All Rights Reserved」とマークした画像やダウンロードを無効にした画像では機能しない。」1024pxのラージバージョンを使用できた可能性がありますが、質問は特に元のサイズに関連しています。
マーク・ウィテカー

1
@Markは、私が言ったように、1024 x 580の画像をダウンロードしました。たぶん私は銃を跳びました、そして、答えでの私の最初のパスはそれを述べませんでした。しかし、はい、1024はダウンロードしたものです。
体重

1
はい、表示されます。:)私が言えることから、flickrは画像の所有権をかなり真剣に受け止め、共有、パブリックアクセス、および権利の間の細かな境界線を慎重に歩きます。それについての意見は異なり、間違いを犯しますが、それは私の全体的な見解です。一方、私はこれを元の画像をアップロードするの十分に信用していません。
体重

-1

FirefoxプラグインTamperdataは、画像の保護されたURLの発見を許可します。そうするのは簡単です。セキュリティの唯一の層は不明瞭であるように見えます。


3
本当に?この画像オリジナル(2400x1600)サイズのバージョンをダウンロードして、それを証明できますか?質問をきちんと読んでいないと思います。
マーク・ウィテカー14

-3

ここでは、Safariを使用して簡単な方法を紹介します。皆さんが専門用語を捨てることはありません。すべての画像のページに移動します。[開発]ドロップダウンメニューを有効にしたら、[Webインスペクターを表示]に移動します。開発者ウィンドウの左側で、画像のドロップダウンを探します。それをクリックして、長い数字の文字列を探します。クリックすると、開発者ウィンドウに画像が表示されます。右端に画像のURLが表示されます。新しいブラウザウィンドウにURLをコピーして貼り付けると、画像が表示され、そこからダウンロードできます。または、開発者ウィンドウから画像をドラッグするだけです。(おそらく、名前が「不明」に変更されます。

私の方法論のスクリーンショット


3
質問を誤読したか、問題を誤解したかのいずれかです。「ブラウザに画像が表示されると、決心したユーザーが簡単にダウンロードできることをよく知っています」と明確に述べました。オリジナルではなく、大きいサイズのみをダウンロードしました。もう一度質問を読んでみてください。私が尋ねていたものがきっとわかるでしょう。残念ながら、あなたには「専門用語」が理由であります!
マーク・ウィテカー14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.