Wenn Sie einen Image-Host verwenden und einige Ihrer Images als privat kennzeichnen würden, würden Sie erwarten, dass diese weiterhin für jedermann zugänglich sind? Dies ist anscheinend bei Smugmug der Fall, wo eine private Einstellung einfach bedeutet, dass die Bilder und Bildergalerien nicht mehr direkt von der Homepage aus verlinkt sind, sondern einfach durch Eingabe der URL direkt in der Adressleiste des Browsers oder im Download-Manager aufgerufen werden können.
Das eigentliche Problem entsteht, weil Dateien bei Smugmug nacheinander benannt werden, was bedeutet, dass jeder, der nur ein wenig technisches Wissen besitzt, alle Bilder aus allen Galerien herunterladen kann, die öffentlich und privat sind. Die einzigen Galerien, auf die nicht zugegriffen werden kann, sind offensichtlich die passwortgeschützten.
Auf die URLs für die Galerien kann durch Öffnen einer URL zugegriffen werden, die mit //www.smugmug.com/gallery/* beginnt, z. B. //www.smugmug.com/gallery/1000, //www.smugmug.com/gallery/ 1001 in Ihrem Browser. Auf Bilder kann direkt zugegriffen werden, indem //www.smugmug.com/photos/*-M.jpg in Ihren Browser geladen wird, wobei * eine Zahl zwischen 1 und x ist. So kann jeder auf Bilder wie //www.smugmug.com/photos/1000-M.jpg, //www.smugmug.com/photos/10001-M.jpg usw. zugreifen.
Google Blogoscope, das diese Lücke entdeckt hat, hat Smugmug kontaktiert und eine Antwort erhalten, die nicht so zufriedenstellend war. Laut CEO Don MacAskill sollte dies so funktionieren:
Zunächst betrachten wir Sicherheit und Datenschutz als zwei getrennte, aber verwandte Themen. Sicherheit ist wie das Verschließen Ihrer Haustür (niemand kann ohne Schlüssel eintreten) und Privatsphäre wie das Schließen Ihrer Fenstervorhänge (niemand kann von außen hineinschauen, aber Sie können den Leuten sagen, wo Sie wohnen und sie können sie besuchen ohne Schlüssel).
Bei SmugMug fällt die Funktion, von der Sie sprechen, nämlich private Galerien, unter die Privatsphäre, nicht unter die Sicherheit. Es wurde absichtlich so gestaltet, dass Sie anderen Menschen von Ihren Fotos erzählen können (teilen Sie eine URL in einer E-Mail, Einbettung oder einem Hyperlink in Ihrem Blog oder Nachrichtenforum usw.), ohne dass Sie etwas wie ein Passwort mitteilen müssen. Nur Personen, für die Sie diese URL freigegeben haben, können die fragliche Galerie und / oder die fraglichen Fotos finden.
