November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

и о формулировках

dil: (Default)
[personal profile] dil
Thursday, July 17th, 2008 06:12 pm
Как мне ограничить доступ к моим фотографиям?

При добавлении или редактировании фото вы можете указать доступ «для друзей», и её увидят только те, кто внесён в список ваших друзей. Чтобы добавить друга, перейдите к вашим настройкам по ссылке «Настроить» вверху страницы и кликните на ссылку «Редактировать список друзей». Здесь вы можете найти пользователя и добавить его в друзья. Фотографии и альбомы с ограничением доступа не участвуют в рейтингах.

Так вот, это, мягко говоря, неправда.

Потому что увидеть такую фотографию может кто угодно, если этот кто-то каким-нибудь образом добыл прямую ссылку. Вот эта картинка, например, была загружена с флажком "для друзей".


"Дата: 27.06.08 13:33
От кого: Yandex.Fotki <support@fotki.yandex.ru>

Мы подумаем, как более корректно сформулировать это в нашей помощи.
Спасибо за замечание, оно передано менеджеру проекта.

--
С уважением, Люда Смешнова
Служба поддержки Яндекс.Ру"



Upd: картинки в режиме "показывать только мне" точно так же видны по прямой ссылке всем желающим.
Tags:
Flat | Top-Level Comments Only

[identity profile] schors.livejournal.com
Thursday, July 17th, 2008 05:49 pm (UTC)
О Господи! Это же тип "дыр" древнее чем в инете... Мама...

[identity profile] dil.livejournal.com
Friday, July 18th, 2008 07:40 am (UTC)
Это не баг, это фича. Разработчики об этом прекрасно знают. Вопрос в том, зачем в хелпе соврали.

[identity profile] schors.livejournal.com
Friday, July 18th, 2008 07:55 am (UTC)
Фигня. Это фича из той серии, когда все баги называют фичами. Нахрен тогда этот режим "для друзей" нужен

[identity profile] dil.livejournal.com
Friday, July 18th, 2008 09:12 am (UTC)
в этом режиме не-друзьям не показываются страницы со ссылками на фотографию.
то есть, вот тут тебе фотографию не покажут: http://fotki.yandex.ru/users/dil/view/68887/

а нафига оно так сделано, я не знаю. никаких технических сложностей в проверке куки и выдаче не-друзьям заглушки я не вижу.

Кстати, я поменял режим на "показывать только мне". Её всё ещё видно?

[identity profile] schors.livejournal.com
Friday, July 18th, 2008 09:13 am (UTC)
Да

romikchef: (Default)
[personal profile] romikchef
Saturday, July 19th, 2008 04:33 pm (UTC)
а lghthttpd умеет что-то вроде ngnix-овского x-accel-redirect?
если нет, то сложности-то есть.

[identity profile] dil.livejournal.com
Saturday, July 19th, 2008 10:31 pm (UTC)
с данным конкретным сервером сложности, может быть, и есть, но почему надо обязательно использовать именно его?

[identity profile] dil.livejournal.com
Friday, July 18th, 2008 09:18 am (UTC)
я так понимаю, это связано с другой фичей - запароленными альбомами. куда попасть может кто угодно, но - сказав пароль. в этом случае проверка по кукам, как для друзей, не сработает. и по паролю тоже, потому что альбомы и фотографии из них лежат на разных сайтах.

http://myxolove.ya.ru/replies.xml?item_no=344&parent_id=349&with_parent=1

Но результат выглядит дико.

[identity profile] schors.livejournal.com
Friday, July 18th, 2008 09:23 am (UTC)
Это тоже решаемо. Даже с моими возможностями.

[identity profile] dil.livejournal.com
Friday, July 18th, 2008 09:27 am (UTC)
хотя да, при вводе правильного пароля выдавать куку, и ее проверять при выдаче фотографии
ничего сложного

[identity profile] bromi.livejournal.com
Friday, July 18th, 2008 06:53 am (UTC)
Ну так оно почти везде и всегда так на крупных ресурсах.
Ибо статик-контент, все дела :)

[identity profile] dil.livejournal.com
Friday, July 18th, 2008 07:39 am (UTC)
очень может быть. но зачем, зная об этом, надо было врать в хелпе, мне непонятно.

[identity profile] bromi.livejournal.com
Friday, July 18th, 2008 07:43 am (UTC)
А там нигде нет мелкого шрифта для технически одаренных? Хелп-то он известно кому пишется..

[identity profile] dil.livejournal.com
Friday, July 18th, 2008 09:14 am (UTC)
Вот это - http://fotki.yandex.ru/help.xml - ВСЯ доступная документация для пользователей по этому проекту.
Обо всём остальном предлагается догадываться самостоятельно.

[identity profile] linker.livejournal.com
Sunday, July 20th, 2008 01:24 pm (UTC)
Ты известный любитель передёргивать, ага.

Там не наврано, а сказано не всё.

[identity profile] dil.livejournal.com
Sunday, July 20th, 2008 10:07 pm (UTC)
"и её увидят только те, кто внесён в список ваших друзей" - это именно наврано. потому что я только что наглядно показал, что увидеть её может кто угодно.

[identity profile] linker.livejournal.com
Sunday, July 20th, 2008 10:10 pm (UTC)
Я тебя добавлю сейчас в список своих друзей и опубликую фото с соответствующим доступом. И ты ничегошеньки не увидишь.

Ещё раз. Не наврано, а не всё сказано.

Кстати, домашнее задание для правдолюба. Сходи на фликер и проверь, не врут ли они тоже, ведь у них логика точно такая же.

Я без сарказма и язвительностей.

[identity profile] dil.livejournal.com
Monday, July 21st, 2008 08:59 am (UTC)
Ты хочешь сказать, что фотки "для друзей" не всегда доступны даже друзьям?? или я тебя неправильно понял?

"Не всё сказано" - это замечательное определение. Это примерно как написать "нашим перочинным ножом нельзя порезаться" и не дописать "если вы не будете его открывать".

Очень может быть, что у фликра та же фигня, я не проверял, надобности не было.
Но ты действительно считаешь, что это будет хорошим оправданием для того, что написано на фотках?

[identity profile] linker.livejournal.com
Monday, July 21st, 2008 09:03 am (UTC)
Однако довольно коряво написал. Имелось ввиду, что: если я опубликую для друзей, то другие не увидят, пока я не предприму дополнительных усилий.

Нет, не считаю.

[identity profile] dil.livejournal.com
Monday, July 21st, 2008 09:17 am (UTC)
или пока увидевшие друзья не предпримут дополнительных усилий.

в общем, безопасность, основанная на секретности урла, - это такая неочевидная вещь, о которой хорошо бы явно предупреждать.

кстати, я проверил фликр, у него закрытые картинки по известному урлу тоже доступны. но у него есть одна фича - если у картинки уровень доступа поменять на более защищенный, то автоматически меняется урл.

[identity profile] linker.livejournal.com
Monday, July 21st, 2008 01:18 pm (UTC)
У Фоток есть одна фича - если у картинки уровень доступа поменять на более защищенный, то автоматически меняется урл.

"не показывать на других сайтах" называется.

Понятно, что это недостаточная для некоторых целей секурность, но у нас массовый развлекательный сервис, а не интернет-банкинг.

[identity profile] dil.livejournal.com
Monday, July 21st, 2008 03:18 pm (UTC)
Только не "если у картинки уровень доступа поменять на более защищенный", а если включить "не показывать на других сайтах".

Когда я поменял с "только для друзей" на "только мне", урл остался старый, и по нему картинку всё ещё видно: http://dil.livejournal.com/676091.html?thread=4095227&format=light#t4095227

А теперь вопрос: где всё это сакральное знание изложено в доступном пользователям виде?

[identity profile] dil.livejournal.com
Sunday, July 20th, 2008 10:13 pm (UTC)
и кстати, поясни, пожалуйста, чтО и где я передёргивал

[identity profile] linker.livejournal.com
Sunday, July 20th, 2008 10:22 pm (UTC)
неа, извини, не желаю перечитывать твой без сомнения, интересный журнал.

а в общем — передёргивал касательно ЯФ.

[identity profile] dil.livejournal.com
Monday, July 21st, 2008 06:32 am (UTC)
Слив засчтан.
Специально для нежелающих перечитывать есть поиск: http://blogs.yandex.ru/search.xml?text=%D1%84%D0%BE%D1%82%D0%BA%D0%B8&ft=blog&server=livejournal.com&author=dil

[identity profile] linker.livejournal.com
Monday, July 21st, 2008 06:55 am (UTC)
(рыдает)

[identity profile] http://users.livejournal.com/_windwalker_/
Friday, August 8th, 2008 08:48 pm (UTC)
Мдя. Гугль в этом плане честен.
Flat | Top-Level Comments Only