Les galeries privées peuvent être consultées à Smugmug

Si vous utilisiez un hôte d’image, si vous montiez certaines de vos images et que vous les définissiez comme étant privées, vous attendriez-vous à ce qu’elles soient toujours accessibles par quelqu'un? C'est apparemment le cas chez Smugmug où un paramètre privé signifie simplement que les images et les galeries d'images ne sont plus directement liées à la page d'accueil, mais sont toujours accessibles en saisissant simplement l'URL directement dans la barre d'adresse du navigateur ou dans le gestionnaire de téléchargement.

Le véritable problème provient du fait que les fichiers sont nommés de manière séquentielle dans Smugmug, ce qui signifie que toute personne disposant de connaissances techniques limitées pourra télécharger toutes les images de toutes les galeries définies en public et en privé. Les seules galeries qui ne sont pas accessibles sont évidemment celles protégées par mot de passe.

Vous pouvez accéder aux URL des galeries en ouvrant une URL commençant par //www.smugmug.com/gallery/*, par exemple //www.smugmug.com/gallery/1000, //www.smugmug.com/gallery/ 1001 dans votre navigateur. Vous pouvez accéder directement aux images en chargeant //www.smugmug.com/photos/*-M.jpg dans votre navigateur, où * est un nombre compris entre 1 et x. Ainsi, tout le monde peut accéder à des images telles que //www.smugmug.com/photos/1000-M.jpg, //www.smugmug.com/photos/10001-M.jpg et ainsi de suite.

Google Blogoscope, qui a découvert cette faille, a contacté Smugmug et a reçu une réponse peu satisfaisante. Selon le PDG Don MacAskill, voici comment cela devrait fonctionner:

Tout d’abord, nous considérons la sécurité et la confidentialité comme deux problèmes distincts mais liés. La sécurité, c'est comme verrouiller la porte d'entrée (personne ne peut entrer avec une clé) et la vie privée, c'est fermer les rideaux (personne ne peut regarder de l'extérieur, mais vous pouvez indiquer aux gens où vous habitez et qu'ils peuvent visiter sans clé).

Chez SmugMug, la fonctionnalité dont vous parlez, les galeries privées, relève de la protection de la vie privée et non de la sécurité. Il a été conçu intentionnellement pour que vous puissiez "informer les autres" de vos photos (partager une URL dans un courrier électronique, intégrer ou créer un lien hypertexte sur votre blog ou votre forum de messagerie, etc.) sans devoir partager un mot de passe. Seules les personnes avec lesquelles vous avez partagé cette URL peuvent trouver la galerie et / ou les photos en question.