Phòng trưng bày tư nhân có thể được truy cập tại Smugmug

Nếu bạn sẽ sử dụng một máy chủ hình ảnh, đưa lên một số hình ảnh của bạn và đặt chúng ở chế độ riêng tư, bạn có muốn chúng vẫn có thể truy cập được không? Đây rõ ràng là trường hợp xảy ra tại Smugmug khi cài đặt riêng chỉ có nghĩa là các phòng trưng bày hình ảnh và hình ảnh không được liên kết trực tiếp từ trang chủ nữa mà vẫn có thể được truy cập bằng cách nhập url trực tiếp vào thanh địa chỉ trình duyệt hoặc trình quản lý tải xuống.

Vấn đề thực sự nảy sinh do các tệp được đặt tên tuần tự tại Smugmug, điều đó có nghĩa là bất kỳ ai chỉ cần một chút kiến ​​thức kỹ thuật sẽ có thể tải xuống tất cả hình ảnh từ tất cả các phòng trưng bày ở chế độ công khai và riêng tư. Các phòng trưng bày duy nhất không thể truy cập là mật khẩu được bảo vệ rõ ràng.

Các url cho các phòng trưng bày có thể được truy cập bằng cách mở một url bắt đầu bằng //www.smugmug.com/gallery/*, ví dụ //www.smugmug.com/gallery/1000, //www.smugmug.com/gallery/ 1001 trong trình duyệt của bạn. Có thể truy cập hình ảnh trực tiếp bằng cách tải //www.smugmug.com/photos/*-M.jpg trong trình duyệt của bạn trong đó * là một số từ 1 đến x. Vì vậy, mọi người đều có thể truy cập các hình ảnh như //www.smugmug.com/photos/1000-M.jpg, //www.smugmug.com/photos/10001-M.jpg, v.v.

Google Blogograph, người đã phát hiện ra lỗ hổng này đã liên hệ với Smugmug và nhận được câu trả lời không thỏa đáng. Theo CEO Don MacAskill, đây là cách dự định nên hoạt động:

Trước hết, chúng tôi xem bảo mật và quyền riêng tư là hai vấn đề riêng biệt nhưng có liên quan. Bảo mật giống như khóa cửa trước của bạn (không ai có thể lấy chìa khóa) và quyền riêng tư giống như đóng cửa sổ của bạn (không ai có thể nhìn từ bên ngoài, nhưng bạn có thể nói với mọi người nơi bạn sống và họ có thể truy cập không có chìa khóa).

Tại SmugMug, tính năng bạn đang nói đến, các phòng trưng bày tư nhân, nằm dưới chiếc ô riêng tư, không bảo mật. Nó được thiết kế có chủ ý để bạn có thể nói với những người khác về hình ảnh của bạn (chia sẻ URL trong email, nhúng hoặc siêu liên kết trên blog hoặc diễn đàn tin nhắn của bạn, v.v.) mà không phải chia sẻ một cái gì đó như mật khẩu. Chỉ những người bạn đã chia sẻ URL này mới có thể tìm thấy thư viện và / hoặc ảnh được đề cập.