Flickrの「オリジナルイメージのダウンロードを無効にする」機能はどれくらい安全ですか？

でFlickrのプライバシー設定ページ題し設定があります「あなたの元の画像ファイルにアクセスすることができますか？」。これを「全員」以外に設定した場合（「あなただけ」や「あなたの連絡先」など）、許可されていないユーザーがURLを渡さずに元の画像にアクセスすることは可能ですか？（私の元の写真は1024pxよりも大きいと仮定します。そのため、ラージバージョンとは異なるオリジナルバージョンがあります。また、クリエイティブコモンズライセンスではないものとします。）

ブラウザに画像が表示されると、ブラウザが邪魔しようとする阻害要因（JavaScriptブロッカーなど）に関係なく、特定のユーザーが簡単にダウンロードできることをよく知っています。しかし、私は次のことが正しいと信じています：

1. 許可されていないユーザーは、Flickrで元のサイズのページ（このページなど）を表示しようとすると、エラーページが表示されるだけです。

2. そのページのURLは簡単に推測できます（sizes/o/通常の写真ページのURLの最後に追加するだけです）が、実際の元の画像ファイルの URLにはランダムな要素があり、簡単に推測することはできません。

ありますたくさんの人々 Flickrのは、他の場所無効にダウンロード設定は無用ですが、私はすべての証拠を見ていないと言って。誰かがそれをバイパスできることを確実に知っていますか？「はい」と答えた場合は、最新の画像の元のサイズを送って証明することを期待します！（それは友人と家族だけが利用できるようになっている-だから、おじさん、グーバーおじさん...）

いくつかのコンテキスト：写真を盗むつもりはないことを指摘する必要があります。特に、今日報告されたこのジオフェンスの抜け穴に関して、鉱山の安全性を理解しようとしています。

独自のflickrアカウントとログインしていないブラウザーを使用して、独自に調査を行いました。

これが私の写真のすべてのサイズのページです。

私が「元の画像ファイルにアクセスできる人」を変更する前に。プライバシーと権限の設定では、一般的なインターネットユーザーは、他のサイズに加えて「オリジナル」リンクを見ることができます。そのページには、このurlに<img>リンクされたタグがありました。「すべてのサイズ」ページには、この写真の元のサイズをダウンロードするというリンクもありました。（URLを確認する場合、ファイル名にサフィックスがあることに注意してください。Flickrはこれを確認し、画像を表示する代わりにダウンロードするようブラウザに指示するHTTPヘッダーをトリガーします）。_d

比較のために、ここに大きなサイズのページと対応する画像URLを示します。

その後、プライバシー設定を変更し、ログインしていないブラウザーのキャッシュをクリアし、リンクを再チェックしました。私が見つけたものは次のとおりです。

• 元のサイズのページへのリンクは、大きなサイズのページにリダイレクトされます。それは合理的です。
• 予想どおり、[すべてのサイズ]ページに[元のサイズ]リンクがなくなりました。
• まだ元のサイズの画像をダウンロードできました
  • これは少し驚くべきことです。つまり、画像を含むページにはアクセス制限がありますが、画像自体にはセキュリティがありません。
  • ウェブ開発者として、私は彼らがおそらくこれをした理由を理解できます。画像は大きく静的であり、おそらくコンテンツ配信ネットワーク経由で提供されます。画像ファイルのアクセス許可をチェックしない方が高速/効率的です。単純に「ダム」Webサーバーでホストすることができます。

だから、元のファイルのURLがわかれば、ファイルの元のバージョンのダウンロードからストップ誰かに方法はありません（それを完全に削除する短いが...そしてそれがないにも仕事。私は試していない場合があります）。

最後の問題：元のファイルのURLはどの程度推測可能か？ここでそれらは隣り合っています：

Large:    http://farm7.static.flickr.com/6126/6044833128_cc02cf41e3_b.jpg
Original: http://farm7.static.flickr.com/6126/6044833128_3b8eac89d7_o.jpg

そのため、サフィックス（_bまたは_o）がサイズを決定しますが、ファイル名にはサイズによって異なる別の要素もあります。接尾辞を変更してサイズを反転することはできません。ここだ切り替えサフィックスを持つ大規模なバージョンのためのURLには_o、機能しません。

私がFlickrだった場合、その中間要素が写真サイズごとに完全にランダムであり、したがってブルートフォース攻撃を除いて推測できないことを確認します。長さは40ビットであるため、可能なオプションは多数（2 ^ 40、約1兆）あります。それは、誰もが、彼らがすでに持っているときだけ...ファイルの元のサイズのバージョンを取得するには、セグメントというブルートフォースにわざわざ非常に低いのです大きなバージョンを。

したがって、「元のファイルのダウンロード」機能をオフにし、元の画像のURLを共有しない限り、Flickr機能は非常に安全であると言えます。それが壊れた場合、それはほとんどあなた自身の責任です。

このページ（bill weaverが投稿したFirefoxプラグインからリンクされています）は、質問で述べた画像URLの「ランダムなコンポーネント」など、状況を要約するのに適しています。

著者は次のように述べています。

これは、小さいサイズのファイル名を取得する手間がかかっても、元の写真のファイル名を推測できないことを意味します。これは、画像の盗難を心配する写真家にとって素晴らしいニュースです。

「推測できません」-すばらしい！:)しかし、彼は言うことを続けます：

クールなことは、Flickrがファイル名をランダム化した後、ファイルの元のサイズのURLを推測することがほとんど不可能になったことです。

「不可能の隣」-そんなに素晴らしいものではありません！:(しかし、彼は、十分な時間と処理能力があれば、ブルートフォース攻撃でそれをクラックできることを意味していると思います。

Flickrはデフォルトで非セキュアWebプロトコル（HTTP）を使用するため、画像にアクセスできる人からセッションハイジャックを実行した後、画像にアクセスできます。セッションハイジャックの場合、攻撃者は、同じワイヤレスアクセスポイントまたは中間ネットワークノードにアクセスするなどして、被害者のネットワークトラフィックを盗聴できる必要があります。Firesheepがリリースされた後、パブリックワイヤレススポットではリスクが非常に大きくなりました。Firefoxプラグインは、同じワイヤレスエリアで他の人が使用するCookieを自動的に取得し、簡単に使用できるようにします。

また、画像にはヘッダーが付属しているため、中間のWebキャッシュで何年も保持できます。そのため、Webキャッシュを参照するためのアクセスを取得すると、そのキャッシュを介して表示された元の画像へのアクセスも提供される場合があります。

あなたやあなたの友人のネットワーク接続やキャッシュを追いかけるつもりはないので、元の画像を送信するつもりはありません。しかし、安全にプレイするための最善の策は、元の画像をアップロードしないことです。

表示されている場合は、もちろん保存できます。オリジナルが保護されている場合、URLがわからない限り保護されません。ボトムラインは、かなり確保していない私はそれをダウンロードすることができないと思います。

FlickrのオリジナルFirefoxのプラグインは、（私は受動的にそう仮定）これを実行するために最初に思えるが、あなたはパブリックビューイングからあなたの原稿を保護した場合、実際に大きなサイズをダウンロードします。このプラグインを使用して、1024 x 580バージョンの写真をダウンロードしました。

FirefoxプラグインTamperdataは、画像の保護されたURLの発見を許可します。そうするのは簡単です。セキュリティの唯一の層は不明瞭であるように見えます。

ここでは、Safariを使用して簡単な方法を紹介します。皆さんが専門用語を捨てることはありません。すべての画像のページに移動します。[開発]ドロップダウンメニューを有効にしたら、[Webインスペクターを表示]に移動します。開発者ウィンドウの左側で、画像のドロップダウンを探します。それをクリックして、長い数字の文字列を探します。クリックすると、開発者ウィンドウに画像が表示されます。右端に画像のURLが表示されます。新しいブラウザウィンドウにURLをコピーして貼り付けると、画像が表示され、そこからダウンロードできます。または、開発者ウィンドウから画像をドラッグするだけです。（おそらく、名前が「不明」に変更されます。