Deface изображений или Вас могут подставить

    Перепосты или копирование постов с указанием авторства стали для нас чем-то обыденным и мы редко задумываемся о том, насколько небезопасно это может быть, или просто вообще не знаем, что таким образом можем быть подвергнуты deface атаке.

    Лишним подтверждением стал случай (осторожно, много политики) с блогом одной девушки. Она решила разместить копипаст сообщения пользователя живого журнала avf, в котором даются рекомендации как избежать проблем с переходом на зимнее время.


    Девушка просто скопировала сообщение пользователя и спокойно ушла спать. Однако автор исходного сообщения увидел, что она оставила ссылку, которая ведет на изображение оригинал, размещенное в его блоге. Из-за личной неприязни (опустим политические разборки в стороне) автор исходного изображения решил насолить девушке и заменил исходное изображение. В итоге на блоге девушки начала красоваться совсем другая картинка, за что ей должно быть неплохо влетело.

    Я решил проверить пару постов своих друзей из френд-ленты. Многие не меняют ссылки на исходные картинки, более того, функция перепоста содержит точно такую же возможность deface атаки, изображения ведут на оригиналы.

    ps. Хорошо что размещение картинки на хабре ведет к хараэффекту и все картинки приходится заливать на habrastorage. Своеобразная защита от атаки.
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 28
    • +52
      Этому «дефейсу» уже сто лет в обед. На форумах такое проходили.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Была похожая задача. Фотографии были доступны только для зарегистрированных пользователей. Некоторые пользователи смотрели в свойствах прямой путь к изображению и размещали их у себя в блогах. После обновления, система определяла такие действия и на удалённых картинках вешала изображение «Для просмотра изображения, зарегистрируйтесь на сайте таком-то».
        • +2
          Я думаю и через еще сто лет тема будет актуальна.
          • 0
            Этот «дефейс» древнейшее оружие в проно войнах! благо ему родился проно-рунет.
        • +13
          Мораль сей басни такова — не копипасть.
          • +16
            Тогда уж — не хотлинкуй
          • +15
            С одной стороны использовать источники которые не можешь контролировать опасно, а с другой стороны 200 копий одной и той же картинки это тоже не очень хорошо.

            Я чаще сталкиваюсь с ситуацией, когда изображение было размещено на каком-то фотохостинге или еще где и за давностью просто было удалено. В итоге самое интересное оказывается недоступно. :(
            • +3
              Мне кажется это больше проблема ЖЖ (совсем не единственная). Картинки должны быть immutable, т.е. после того как кто-то залил картинку, получил ее идентификатор и, как следствие, ссылку — не должно быть возможности ее изменения и даже ее полного удаления (ради сохранения целостности кросс-постинга)
              • 0
                Ну не ЖЖ единым. Есть куча мест, где это может быть использовано. У меня у самого на сервере есть картинки, которые используются на других серверах. Я без проблем могу их подменить или удалить.
                • 0
                  не должно быть возможности ее изменения и даже ее полного удаления

                  слишком большая жертва, вам не кажется?
                  • +1
                    Как раз нет — очень много фото-хостингов и соц. сетей картинки физически не удаляют, ибо нечего лишний раз файловую систему на запись дергать. Удалять можно только собственную индексную запись о картинке.
              • +4
                Хочешь сделать хорошо, сделай это сам.
                • +1
                  Я прям знаю о чем будет очереднойследующий хостинг-стартап.
                  • 0
                    Это более-менее безобидный пример. Стоит ли говорить как рискуют организации, которые исходя из общепринятых советов делают:

                  • +24
                    По этой же причине еще лет 5 назад пришлось на форуме реализовывать «автоскачку» картинок, при вставлении их с левых ресурсов. «Доброжелателей» подсовывающих левые картинки было навалом.
                    Правда исходным посылом для «автоскачки» было совсем другое. Один «очень хитрый пользователь » разместил картинку у себя и плюхнул традиционно хотлинкингом на форум… и через пару дней когда тема стала популярна — банально ее запаролил http authorization с надписью «Вас вынесло из форума введите свой логин/пароль», очень много народу попалось — ну а чё — окно-то всплывает на рРодном" форуме.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • +1
                        Много раз видел, когда из-за превышения лимитов на скачку картинки, сам картинка с imageshack не грузятся.
                        • НЛО прилетело и опубликовало эту надпись здесь
                      • +3
                        Детский сад.
                        • 0
                          Всю жизнь такой дефейс назывался «попал на хотлинкинге».
                          • +1
                            Ещё в детстве учили: не бери чужого. Вот оно: наказание 21 века за кражу интеллектуальной собственности.

                            P.S. «Deface изображений» — это явно новый термин. Доселе не доводилось такого слышать.
                            • +24
                              Вот что из этого получилось: krispotupchik.livejournal.com/279776.html — после полуночи, чудесным образом,
                              безобидная картинка превратилась в плакат против ПЖиВ.

                              UPD: В 7:40 Криску разбудил разъярённый пожиратель устриц «Белон», которого нежно разбудил «разоблачатор»-пиарщик от ПЖиВ Рыков — и Потупчик стала судорожно исправлять пост.

                              Я считаю поделом им! :)

                              Если кто вдруг не в курсе, сейчас всякими «нашистами» и прочими «молодными гвардиями», аффилированными с прокремлёвкой Росмолодёжью, капитально засраны все более-менее политически значимые площадки: они массово лепят пропагандистские посты (часто это банальная копипаста тонко написанных различными руководителями молодёжных объединений и лояльных Кремлю писак) и комментарии в LiveJournal, пропагандистские видео и комментарии на YouTube, многочисленные троллинговые комментарии в независимых СМИ, стараются дискредитировать и замять любую точку зрения, не совпадающую с государственной формулой пропаганды «Путин+ЕдРо=стабильность» и т.д.

                              Так что мочить их!
                              • +1
                                Хабраэффекта не существует. Несколько десятков тысяч хитов выдержит любой вменяемый сервер в режиме штатной работы.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.