แกลเลอรีส่วนตัวสามารถเข้าถึงได้ที่ Smugmug

• หมวดหมู่: ความปลอดภัย

หากคุณจะใช้โฮสต์รูปภาพให้วางรูปภาพของคุณและตั้งค่าเป็นแบบส่วนตัวคุณคิดว่าจะยังคงเข้าถึงได้โดยใครหรือไม่? เห็นได้ชัดว่านี่เป็นกรณีที่ SmugMug โดยที่การตั้งค่าส่วนตัวหมายความว่ารูปภาพและแกลเลอรีรูปภาพไม่ได้เชื่อมโยงโดยตรงจากหน้าแรกอีกต่อไป แต่ยังสามารถเข้าถึงได้โดยเพียงแค่ป้อน url โดยตรงในแถบที่อยู่ของเบราว์เซอร์หรือตัวจัดการการดาวน์โหลด

ปัญหาที่แท้จริงเกิดขึ้นเนื่องจากไฟล์ถูกตั้งชื่อตามลำดับที่ Smugmug ซึ่งหมายความว่าทุกคนที่มีความรู้ทางเทคนิคเพียงเล็กน้อยจะสามารถดาวน์โหลดภาพทั้งหมดจากแกลเลอรีทั้งหมดที่ตั้งค่าเป็นสาธารณะและส่วนตัวได้ แกลเลอรีเดียวที่ไม่สามารถเข้าถึงได้คือแกลเลอรีที่มีการป้องกันด้วยรหัสผ่านอย่างชัดเจน

คุณสามารถเข้าถึง URL สำหรับแกลเลอรีได้โดยการเปิด url ที่ขึ้นต้นด้วย http://www.smugmug.com/gallery/* ตัวอย่างเช่น http://www.smugmug.com/gallery/1000, http: // www. smugmug.com/gallery/1001 ในเบราว์เซอร์ของคุณ สามารถเข้าถึงรูปภาพได้โดยตรงโดยการโหลด http://www.smugmug.com/photos/*-M.jpg ในเบราว์เซอร์ของคุณโดยที่ * คือตัวเลขระหว่าง 1 ถึง x ดังนั้นทุกคนสามารถเข้าถึงรูปภาพเช่น http://www.smugmug.com/photos/1000-M.jpg, http://www.smugmug.com/photos/10001-M.jpg และอื่น ๆ

Google Blogoscope ผู้ค้นพบช่องโหว่นี้ติดต่อ Smugmug และได้รับคำตอบที่ไม่น่าพอใจ ตามที่ CEO Don MacAskill กล่าวไว้นี่คือวิธีที่ตั้งใจไว้ว่าควรจะได้ผล:

ก่อนอื่นเราถือว่าความปลอดภัยและความเป็นส่วนตัวเป็นสองประเด็นที่แยกจากกัน แต่เกี่ยวข้องกัน การรักษาความปลอดภัยก็เหมือนกับการล็อกประตูหน้าบ้าน (ไม่มีใครสามารถไขกุญแจออกได้) และความเป็นส่วนตัวก็เหมือนกับการปิดม่านหน้าต่างของคุณ (ไม่มีใครสามารถมองจากภายนอกได้ แต่คุณสามารถบอกคนอื่นได้ว่าคุณอาศัยอยู่ที่ไหนและพวกเขาสามารถเยี่ยมชมได้ ไม่มีคีย์)

ที่ SmugMug คุณลักษณะที่คุณกำลังพูดถึงคือแกลเลอรีส่วนตัวอยู่ภายใต้ร่มความเป็นส่วนตัวไม่ใช่ความปลอดภัย ได้รับการออกแบบมาโดยเจตนาเพื่อให้คุณสามารถ 'บอกคนอื่น' เกี่ยวกับรูปภาพของคุณ (แชร์ URL ในอีเมลฝังหรือไฮเปอร์ลิงก์ในบล็อกหรือฟอรัมข้อความของคุณ ฯลฯ ) โดยไม่ต้องแชร์อะไรบางอย่างเช่นรหัสผ่าน เฉพาะคนที่คุณแชร์ URL นี้ด้วยเท่านั้นที่จะพบแกลเลอรีและ / หรือรูปภาพที่เป็นปัญหา