Jeśli użyjesz hosta obrazów, umieścisz niektóre ze swoich zdjęć i ustawisz je jako prywatne, czy spodziewałbyś się, że będą one nadal dostępne dla każdego? Najwyraźniej dzieje się tak w Smugmug, gdzie ustawienie prywatne oznacza po prostu, że zdjęcia i galerie zdjęć nie są już bezpośrednio połączone ze strony głównej, ale nadal można uzyskać do nich dostęp, wpisując adres URL bezpośrednio w pasku adresu przeglądarki lub w menedżerze pobierania.
Prawdziwy problem powstaje, ponieważ pliki są nazywane Smugmug sekwencyjnie, co oznacza, że każdy z odrobiną wiedzy technicznej będzie mógł pobrać wszystkie obrazy ze wszystkich galerii ustawionych jako publiczne i prywatne. Jedyne galerie, które nie są dostępne, to oczywiście chronione hasłem.
Adresy URL galerii można uzyskać, otwierając adres URL zaczynając od //www.smugmug.com/gallery/*, na przykład //www.smugmug.com/gallery/1000, //www.smugmug.com/gallery/ 1001 w przeglądarce. Dostęp do zdjęć można uzyskać bezpośrednio, ładując //www.smugmug.com/photos/*-M.jpg w przeglądarce, gdzie * jest liczbą od 1 do x. Tak więc każdy może uzyskać dostęp do zdjęć takich jak //www.smugmug.com/photos/1000-M.jpg, //www.smugmug.com/photos/10001-M.jpg i tak dalej.
Blogoskop Google, który odkrył tę lukę, skontaktował się ze Smugmugiem i otrzymał odpowiedź, która nie była tak satysfakcjonująca. Według prezesa Don MacAskill jest to zamierzony sposób, w jaki powinien on działać:
Po pierwsze, bezpieczeństwo i prywatność postrzegamy jako dwa oddzielne, ale powiązane ze sobą problemy. Bezpieczeństwo jest jak zamykanie drzwi wejściowych (nikt nie może wejść bez klucza), a prywatność jest jak zamykanie zasłon okiennych (nikt nie może patrzeć z zewnątrz, ale możesz powiedzieć ludziom, gdzie mieszkasz, a oni mogą odwiedzić bez klucza).
W SmugMug, funkcja, o której mówisz, prywatne galerie, wchodzi w zakres ochrony prywatności, a nie bezpieczeństwa. Jest celowo zaprojektowany, abyś mógł „powiedzieć innym ludziom” o swoich zdjęciach (udostępnić adres URL w wiadomości e-mail, umieścić lub hiperłącze na blogu lub forum wiadomości itp.) Bez konieczności udostępniania czegoś takiego jak hasło. Tylko osoby, którym udostępniłeś ten adres URL, mogą znaleźć daną galerię i / lub zdjęcia.
