La engañosa 'privacidad' de las fotos en Facebook
'Robar' una foto en Facebook es muy fácil: lo único que hay que hacer es arrastrar la imagen con el puntero a la barra de navegación (o abrir en ventana nueva) y así se puede obtener la dirección de la misma. Cualquiera -tenga o no cuenta en la red social- puede verla. No se trata de un 'agujero' de seguridad, sino un problema de privacidad: sucede porque la compañía aloja las imágenes en servidores públicos de fotos contratados para ello.
Por ejemplo, haga click en esta imagen, que pertenece a un perfil cerrado y la podrá ver sin problemas.
"Si tienes un perfil privado con fotos privadas, al arrastrar una foto a la barra de navegacion tendrás la dirección de la foto", comenta Iván, ingeniero informático, al Navegante a través de un correo. "Si copias y pegas esa dirección obtenida, cualquiera podrá acceder desde fuera de tu perfil sin autorización para verla", apunta el lector. "Esto permite que terceros usuarios accedan sin permiso -por el motivo que sea- a fotografías privadas tuyas para las que no tienen acceso", concluye.
La URL obtenida y que apunta a la imagen no está vinculada directamente a 'facebook.com' sino que pertenece a un servidor externo a la compañía, contratado para alojar datos ('hosting').
Un post de agosto de este año de Morematterwithlessart.com apunta -con razón- que "la configuración de privacidad de los usuarios (de Facebook) no se aplica a los servidores que alojan la foto, sólo sirven para limitar quién puede ver el enlace a la foto en el servidor de fotos".
Los servidores utilizados por Facebook puede ser:
Por ejemplo, haga click en esta imagen, que pertenece a un perfil cerrado y la podrá ver sin problemas.
"Si tienes un perfil privado con fotos privadas, al arrastrar una foto a la barra de navegacion tendrás la dirección de la foto", comenta Iván, ingeniero informático, al Navegante a través de un correo. "Si copias y pegas esa dirección obtenida, cualquiera podrá acceder desde fuera de tu perfil sin autorización para verla", apunta el lector. "Esto permite que terceros usuarios accedan sin permiso -por el motivo que sea- a fotografías privadas tuyas para las que no tienen acceso", concluye.
¿Por qué sucede esto?
Esta manera de obtener la dirección de la imagen en cuestión se da independientemente de la configuración de privacidad del usuario. ¿Cómo es posible?La URL obtenida y que apunta a la imagen no está vinculada directamente a 'facebook.com' sino que pertenece a un servidor externo a la compañía, contratado para alojar datos ('hosting').
Un post de agosto de este año de Morematterwithlessart.com apunta -con razón- que "la configuración de privacidad de los usuarios (de Facebook) no se aplica a los servidores que alojan la foto, sólo sirven para limitar quién puede ver el enlace a la foto en el servidor de fotos".
Los servidores utilizados por Facebook puede ser:
- https://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc3/
- http://sphotos.ak.fbcdn.net/hphotos-ak-snc3/hs395.snc3/
- https://s-hphotos-ash4.fbcdn.net/
- https://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc4/
- https://fbcdn-photos-a.akamaihd.net/hphotos-ak-ash4/
- https://s-hphotos-snc6.fbcdn.net/
- Algún otro formato similar donde el servidor es Akamai o Fbcdn
Ya sabiamos que habíamos de andar con ojo pero... lo he probado y no permite acceder, si bien es cierto que la URL que aparece está vinculada a facebook...Entonces, ¿es cierta esta información????
ResponderBorrarHola Anónimo, sí funciona.
ResponderBorrarEs sencillo: tomas una foto cualquiera de un perfil cerrado (no público), botón dcho en la img y copias el enlace del JPG. Cierras la sesión de FB, pegas la URL y verás la img.
Un ejemplo tomado de un perfil cerrado (observa que el dominio es de akamai, no de FB):
https://fbcdn-photos-a.akamaihd.net/hphotos-ak-ash4/200239_211900645502692_211900498836040_879696_780172_a.jpg
Hola!
ResponderBorrarEsto es así en facebook y en otros servicios también, akamai es una CDN (content distribution network), un servicio que contrata facebook para entregar cotenido (en este caso fotos) de manera rápida sin costo de ancho de banda. Generalmente una CDN tiene la misma información replicada en muchos servidores ubicados en distintas ubicaciones dentro de la red de redes, entonces en función de la ubicación del navegante (dirección IP) entrega links de fotos que apuntan al servidor más cercano. Hay empresas que contratan CDN como facebook, y otras tienen sus propios, como entiendo que es el caso de google.
En google+ por lo que pude ver recién pasa algo similar. Viendo una foto, si con botón derecho copiamos el link y lo pegamos en otro navegador donde no tenemos iniciada sesión, la foto puede ser accedida directamente.
La confidencialidad de estos casos es una falacia, pasa por la dificultad aparentemente extrema de adivinar el link de la foto que querramos ver, el cual es largo y críptico, pero si tenemos el link vemos la foto.
bueno, pero cual es el problema. si no quieres que sepan nada de tu vida, no cuelgues fotos en ningun sitio y ya. esto no lo entiendo, mucha gente dice "mi privacidad" entonces para que tienes cuenta de FB u otra cuenta social, no es para que te vean, o para comunicarte, o expresarte... cual es el miedo? sencillamente, cuelga fotos nada comprometedora o ninguna y listo.. que tanto rollo.
ResponderBorrarCuanta razón tienes compañero.
BorrarLebru ya dijo casi todo. Lo que si, es que a partir del tema publicado originalmente en este blog (bueno la republicacion porque el autor es de otro blog) hice unas pruebas. Las fotos en Akamahi tienen un elemento mortal que Google no (posiblemente porque Google gestiona todos sus servidores ) Un ataque de fuerza bruta distribuido puede en teoria conseguir toda las imagenes de un usuario en particular de Facebook, pero no sería tan sencillo de Google+ (Segun mis resultados Google+ utiliza un hash para las dirreciones de las fotos). Lo que si es un hecho. Panda no miente, si subes algo, es publico inmediatamente.
ResponderBorrarSe podria hacer un script con wget que descargue imagenes aleatorias de ese servidor...alguna bajara supongo....
ResponderBorrarhttp://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-snc6/s720x720/*.jpg
Anonimo, ni siquiera es necesario hacerlo aleatorio, ya que algunos de los ID se pueden conocer previamente.
ResponderBorrarCristian
queria saber si con un link de una foto, por ejemplo esta
ResponderBorrarhttps://fbcdn-sphotos-a.akamaihd.net/photos-ak-ash3/41189_136533113056561_2496628_n.jpg
se puede saber a quien pertenece? o sea como se llama la persona?
Anonimo, en base a unos de esos ID que es el del usuario se podría.
ResponderBorrarCristian
como soluciono este problema
ResponderBorrarcomo soluciono este problema en el facebook
ResponderBorrarAnonimo 25/08,
ResponderBorrarEse prob. no lo solucionas tú. Es una "funcionalidad" de Facebook que si ellos no cambian tu no puedes hacer nada.
Cristian
como funciona el chat de facebook, tambien esta alojado en los servidores de akamaihd.net?
ResponderBorrarAnonimo,
ResponderBorrarEl chat funciona dentro de FB y los datos son almacenados en BD propias
Cristian
Gracias Cristian por la respuesta.
ResponderBorrarEl chat de FB es llamado desde alguna URL especifica ej chat.facebook.com
pregunto porque necesito permitir fB pero bloquear el chat de este.
Gracias
Buenas tardes, El chat de FB tiene alguna URL especifica para bloquearla o este funciona como P2P.
ResponderBorrarnecesito dar permisos a la pagina de FB pero bloquear el chat para toda la red
Gracias
según tengo entendido dado que en cada foto se incrustan programas es solo para asegurarse y filtrar...
ResponderBorrarHay q asegurar
ResponderBorrarSerá éste funciona.
ResponderBorrarLas fotos guardadas en este servidor externo a facebook; estan agrupadas por ID de las cuentas de facebook o se les da una url aleatoria a cada foto y por lo tanto no podrias llegar a encontrar un hilo entre foto y foto del mismo uruario???
ResponderBorrarGracias!
Este es el link actual, aunque no me deja entrar porque me dice "Access Denied": http://fbcdn-sphotos-f-a.akamaihd.net/%E2%80%8E
ResponderBorrar