In un sito Web che richiede l'accesso dell'utente e tutti i contenuti sono visualizzabili da qualsiasi utente registrato, è necessario inserire URL di immagini oscuri come "1mh9cr2m78234bc23-32xy4723nxy12.jpg" per proteggere il contenuto dalla raccolta automatizzata?
Oppure questo è uno sforzo inutile perché chiunque voglia ottenere il contenuto scriverà semplicemente un ragno che finge un login e striscia l'intero sito, e potresti anche nominare le tue immagini 1.jpg, 2.jpg, ...
La maggior parte dei crawler automatici non ha il tempo di rispettare le procedure di registrazione di tutti i siti Web. Se i nomi delle immagini non sono "ipotizzabili", allora non verranno raccolti dai crawler che eseguono la scansione di "tutto il Web". Tuttavia, naturalmente, qualsiasi utente registrato che può vedere le immagini sarà in grado di borseggiarle tutte (e non solo le immagini, anche tutte le pagine Web). Il noto strumento opensource GNU Wget ha i flag della riga di comando per l'esplorazione ricorsiva delle pagine Web.
Si noti che il server può sapere, per costruzione, chi sta effettuando ogni richiesta (questo è ciò che significa che un utente è "connesso"). È quindi possibile implementare regole restrittive come "non più di 10 immagini per utente e per minuto" o vincoli simili. Con tali regole, un utente deciso a scaricare tutti i tuoi file dovrà creare molti account falsi, registrarli tutti e usarli più o meno in parallelo. Puoi anche filtrare sull'indirizzo IP di origine (se troppe richieste provengono da un singolo indirizzo IP in breve tempo, bannare temporaneamente quell'indirizzo).
Tutti questi deterrenti sono proprio questo: modi per rendere il compito più lento e più difficile per gli aggressori (se chiamiamo le persone che vogliono le immagini "attaccanti", che è soggettivo). Gli autori di attacchi motivati li otterranno comunque.
In generale, quando pubblichi un dato, diventa "pubblico" e non puoi controllare realmente dove va. Questo è il dilemma di tutti i fornitori di contenuti multimediali: una volta che il file musicale è fuori, è fuori.
No, in genere la ragione per usare nomi apparentemente casuali per le immagini è perché si desidera evitare sia la possibilità di duplicati / sovrascritture accidentali sia qualsiasi possibilità di sfruttamento del proprio servizio relativa al nome del file caricato.
Dal momento che il nome del file non è importante per il browser, è meglio scegliere il proprio nome in base al proprio algoritmo piuttosto che mettere a rischio i problemi lungo la strada.
Potresti voler oscurare gli URL delle immagini in modo che non possano essere previsti. Ad esempio, non è possibile prevedere gli URL delle foto di Facebook perché se potessi, potresti essere in grado di accedere alle foto di tutti anche senza essere loro amici.
Ma a quanto pare non è il tuo caso, quindi non hai bisogno di oscurare gli URL delle immagini.
Leggi altre domande sui tag privacy web-application attacks