Les galeries privées sont accessibles à Smugmug

Si vous utilisiez un hébergeur d'images, mettiez en place certaines de vos images et les définissiez comme privées, vous attendriez-vous à ce qu'elles soient toujours accessibles par n'importe qui? C'est apparemment le cas à Smugmug où un paramètre privé signifie simplement que les images et les galeries d'images ne sont plus directement liées à la page d'accueil, mais peuvent toujours être consultées en entrant simplement l'URL directement dans la barre d'adresse du navigateur ou dans le gestionnaire de téléchargement.

Le vrai problème se pose parce que les fichiers sont nommés séquentiellement chez Smugmug, ce qui signifie que toute personne ayant juste un peu de connaissances techniques pourra télécharger toutes les images de toutes les galeries définies sur public et privé. Les seules galeries qui ne sont pas accessibles sont évidemment celles protégées par mot de passe.



Les URL des galeries sont accessibles en ouvrant une URL commençant par http://www.smugmug.com/gallery/*, par exemple http://www.smugmug.com/gallery/1000, http: // www. smugmug.com/gallery/1001 dans votre navigateur. Les images sont accessibles directement en chargeant http://www.smugmug.com/photos/*-M.jpg dans votre navigateur où * est un nombre entre 1 et x. Ainsi, tout le monde peut accéder à des images comme http://www.smugmug.com/photos/1000-M.jpg, http://www.smugmug.com/photos/10001-M.jpg et ainsi de suite.

Blogoscope de Google qui a découvert cette faille a contacté Smugmug et a reçu une réponse qui n'était pas si satisfaisante. Selon le PDG Don MacAskill, c'est la façon dont cela devrait fonctionner:

Tout d'abord, nous considérons la sécurité et la confidentialité comme deux problèmes distincts mais liés. La sécurité, c'est comme verrouiller votre porte d'entrée (personne ne peut entrer sans clé) et l'intimité, c'est comme fermer les rideaux de votre fenêtre (personne ne peut regarder de l'extérieur, mais vous pouvez dire aux gens où vous vivez et ils peuvent vous rendre visite sans clé).

Chez SmugMug, la fonctionnalité dont vous parlez, les galeries privées, relève de la protection de la vie privée et non de la sécurité. Il est intentionnellement conçu pour que vous puissiez 'parler à d'autres personnes' de vos photos (partager une URL dans un e-mail, intégrer ou créer un lien hypertexte sur votre blog ou forum de messagerie, etc.) sans avoir à partager quelque chose comme un mot de passe. Seules les personnes avec lesquelles vous avez partagé cette URL peuvent trouver la galerie et / ou les photos en question.