Se você usasse um host de imagem, coloque algumas de suas imagens e as defina como privadas, você espera que elas ainda estejam acessíveis por alguém? Aparentemente, esse é o caso de Smugmug, onde uma configuração privada simplesmente significa que as fotos e galerias de imagens não estão mais diretamente vinculadas à página inicial, mas ainda podem ser acessadas simplesmente digitando o URL diretamente na barra de endereços do navegador ou no gerenciador de downloads.
O verdadeiro problema surge porque os arquivos são nomeados sequencialmente no Smugmug, o que significa que qualquer pessoa com um pouco de conhecimento técnico poderá fazer o download de todas as imagens de todas as galerias definidas como públicas e privadas. As únicas galerias que não são acessíveis são as protegidas por senha, obviamente.
Os URLs das galerias podem ser acessados abrindo um URL começando por //www.smugmug.com/gallery/*, por exemplo, //www.smugmug.com/gallery/1000, //www.smugmug.com/gallery/ 1001 no seu navegador. As imagens podem ser acessadas diretamente, carregando //www.smugmug.com/photos/*-M.jpg em seu navegador, onde * é um número entre 1 e x. Assim, todos podem acessar imagens como //www.smugmug.com/photos/1000-M.jpg, //www.smugmug.com/photos/10001-M.jpg e assim por diante.
O Blogoscope do Google que descobriu essa brecha entrou em contato com Smugmug e recebeu uma resposta que não foi tão satisfatória. Segundo o CEO Don MacAskill, é assim que deve funcionar:
Primeiro, vemos a segurança e a privacidade como dois problemas separados, mas relacionados. A segurança é como trancar a porta da frente (ninguém pode entrar sem chave) e a privacidade é como fechar as cortinas da janela (ninguém pode olhar de fora, mas você pode dizer às pessoas onde mora e elas podem visitar sem chave).
No SmugMug, o recurso sobre o qual você está falando, galerias particulares, fica sob o guarda-chuva da privacidade, não da segurança. Ele foi intencionalmente projetado para que você possa “contar a outras pessoas” sobre suas fotos (compartilhar um URL em um email, incorporar ou hiperlink em seu blog ou fórum de mensagens etc.) sem precisar compartilhar algo como uma senha. Somente as pessoas com quem você compartilhou este URL podem encontrar a galeria e / ou as fotos em questão.
