È possibile accedere alle gallerie private su Smugmug
- Categoria: Sicurezza
Se utilizzassi un host di immagini, metti alcune delle tue immagini e le imposti come private, ti aspetteresti che siano ancora accessibili da chiunque? Questo è apparentemente il caso in SmugMug dove un'impostazione privata significa semplicemente che le immagini e le gallerie di immagini non sono più collegate direttamente dalla home page ma è comunque possibile accedervi semplicemente inserendo l'URL direttamente nella barra degli indirizzi del browser o nel download manager.
Il vero problema sorge perché i file sono denominati in sequenza su Smugmug, il che significa che chiunque abbia solo un po 'di conoscenza tecnica sarà in grado di scaricare tutte le immagini da tutte le gallerie impostate come pubbliche e private. Le uniche gallerie che non sono accessibili sono ovviamente quelle protette da password.
È possibile accedere agli URL delle gallerie aprendo un URL che inizia con http://www.smugmug.com/gallery/*, ad esempio http://www.smugmug.com/gallery/1000, http: // www. smugmug.com/gallery/1001 nel tuo browser. È possibile accedere alle immagini direttamente caricando http://www.smugmug.com/photos/*-M.jpg nel browser dove * è un numero compreso tra 1 e x. Quindi, tutti possono accedere a immagini come http://www.smugmug.com/photos/1000-M.jpg, http://www.smugmug.com/photos/10001-M.jpg e così via.
Google Blogoscope chi ha scoperto questa scappatoia ha contattato Smugmug e ha ricevuto una risposta non soddisfacente. Secondo il CEO Don MacAskill questo è il modo in cui dovrebbe funzionare:
Prima di tutto, consideriamo la sicurezza e la privacy come due questioni separate, ma correlate. La sicurezza è come chiudere la porta di casa (nessuno può entrare senza una chiave) e la privacy è come chiudere le tende delle finestre (nessuno può guardare dall'esterno, ma puoi dire alle persone dove vivi e loro possono visitare senza chiave).
A SmugMug, la funzione di cui parli, gallerie private, rientra nell'ombrello della privacy, non della sicurezza. È progettato intenzionalmente in modo che tu possa 'parlare ad altre persone' delle tue foto (condividere un URL in un'e-mail, incorporarlo o un collegamento ipertestuale sul tuo blog o forum di messaggi, ecc.) Senza dover condividere qualcosa come una password. Solo le persone con cui hai condiviso questo URL possono trovare la galleria e / o le foto in questione.