dil: (Default)
dil ([personal profile] dil) wrote2008-07-17 06:12 pm
  • Add Memory
  • Share This Entry
Entry tags:

и о формулировках

Как мне ограничить доступ к моим фотографиям?

При добавлении или редактировании фото вы можете указать доступ «для друзей», и её увидят только те, кто внесён в список ваших друзей. Чтобы добавить друга, перейдите к вашим настройкам по ссылке «Настроить» вверху страницы и кликните на ссылку «Редактировать список друзей». Здесь вы можете найти пользователя и добавить его в друзья. Фотографии и альбомы с ограничением доступа не участвуют в рейтингах.

Так вот, это, мягко говоря, неправда.

Потому что увидеть такую фотографию может кто угодно, если этот кто-то каким-нибудь образом добыл прямую ссылку. Вот эта картинка, например, была загружена с флажком "для друзей".


"Дата: 27.06.08 13:33
От кого: Yandex.Fotki <support@fotki.yandex.ru>

Мы подумаем, как более корректно сформулировать это в нашей помощи.
Спасибо за замечание, оно передано менеджеру проекта.

--
С уважением, Люда Смешнова
Служба поддержки Яндекс.Ру"



Upd: картинки в режиме "показывать только мне" точно так же видны по прямой ссылке всем желающим.
Flat | Top-Level Comments Only

[identity profile] schors.livejournal.com 2008-07-17 05:49 pm (UTC)(link)
О Господи! Это же тип "дыр" древнее чем в инете... Мама...

[identity profile] dil.livejournal.com 2008-07-18 07:40 am (UTC)(link)
Это не баг, это фича. Разработчики об этом прекрасно знают. Вопрос в том, зачем в хелпе соврали.

[identity profile] schors.livejournal.com 2008-07-18 07:55 am (UTC)(link)
Фигня. Это фича из той серии, когда все баги называют фичами. Нахрен тогда этот режим "для друзей" нужен

[identity profile] dil.livejournal.com 2008-07-18 09:12 am (UTC)(link)
в этом режиме не-друзьям не показываются страницы со ссылками на фотографию.
то есть, вот тут тебе фотографию не покажут: http://fotki.yandex.ru/users/dil/view/68887/

а нафига оно так сделано, я не знаю. никаких технических сложностей в проверке куки и выдаче не-друзьям заглушки я не вижу.

Кстати, я поменял режим на "показывать только мне". Её всё ещё видно?

[identity profile] schors.livejournal.com 2008-07-18 09:13 am (UTC)(link)
Да
romikchef: (Default)

[personal profile] romikchef 2008-07-19 04:33 pm (UTC)(link)
а lghthttpd умеет что-то вроде ngnix-овского x-accel-redirect?
если нет, то сложности-то есть.

[identity profile] dil.livejournal.com 2008-07-19 10:31 pm (UTC)(link)
с данным конкретным сервером сложности, может быть, и есть, но почему надо обязательно использовать именно его?

[identity profile] dil.livejournal.com 2008-07-18 09:18 am (UTC)(link)
я так понимаю, это связано с другой фичей - запароленными альбомами. куда попасть может кто угодно, но - сказав пароль. в этом случае проверка по кукам, как для друзей, не сработает. и по паролю тоже, потому что альбомы и фотографии из них лежат на разных сайтах.

http://myxolove.ya.ru/replies.xml?item_no=344&parent_id=349&with_parent=1

Но результат выглядит дико.

[identity profile] schors.livejournal.com 2008-07-18 09:23 am (UTC)(link)
Это тоже решаемо. Даже с моими возможностями.

[identity profile] dil.livejournal.com 2008-07-18 09:27 am (UTC)(link)
хотя да, при вводе правильного пароля выдавать куку, и ее проверять при выдаче фотографии
ничего сложного

[identity profile] bromi.livejournal.com 2008-07-18 06:53 am (UTC)(link)
Ну так оно почти везде и всегда так на крупных ресурсах.
Ибо статик-контент, все дела :)

[identity profile] dil.livejournal.com 2008-07-18 07:39 am (UTC)(link)
очень может быть. но зачем, зная об этом, надо было врать в хелпе, мне непонятно.

[identity profile] bromi.livejournal.com 2008-07-18 07:43 am (UTC)(link)
А там нигде нет мелкого шрифта для технически одаренных? Хелп-то он известно кому пишется..

[identity profile] dil.livejournal.com 2008-07-18 09:14 am (UTC)(link)
Вот это - http://fotki.yandex.ru/help.xml - ВСЯ доступная документация для пользователей по этому проекту.
Обо всём остальном предлагается догадываться самостоятельно.

[identity profile] linker.livejournal.com 2008-07-20 01:24 pm (UTC)(link)
Ты известный любитель передёргивать, ага.

Там не наврано, а сказано не всё.

[identity profile] dil.livejournal.com 2008-07-20 10:07 pm (UTC)(link)
"и её увидят только те, кто внесён в список ваших друзей" - это именно наврано. потому что я только что наглядно показал, что увидеть её может кто угодно.

[identity profile] linker.livejournal.com 2008-07-20 10:10 pm (UTC)(link)
Я тебя добавлю сейчас в список своих друзей и опубликую фото с соответствующим доступом. И ты ничегошеньки не увидишь.

Ещё раз. Не наврано, а не всё сказано.

Кстати, домашнее задание для правдолюба. Сходи на фликер и проверь, не врут ли они тоже, ведь у них логика точно такая же.

Я без сарказма и язвительностей.

[identity profile] dil.livejournal.com 2008-07-21 08:59 am (UTC)(link)
Ты хочешь сказать, что фотки "для друзей" не всегда доступны даже друзьям?? или я тебя неправильно понял?

"Не всё сказано" - это замечательное определение. Это примерно как написать "нашим перочинным ножом нельзя порезаться" и не дописать "если вы не будете его открывать".

Очень может быть, что у фликра та же фигня, я не проверял, надобности не было.
Но ты действительно считаешь, что это будет хорошим оправданием для того, что написано на фотках?

[identity profile] linker.livejournal.com 2008-07-21 09:03 am (UTC)(link)
Однако довольно коряво написал. Имелось ввиду, что: если я опубликую для друзей, то другие не увидят, пока я не предприму дополнительных усилий.

Нет, не считаю.

[identity profile] dil.livejournal.com 2008-07-21 09:17 am (UTC)(link)
или пока увидевшие друзья не предпримут дополнительных усилий.

в общем, безопасность, основанная на секретности урла, - это такая неочевидная вещь, о которой хорошо бы явно предупреждать.

кстати, я проверил фликр, у него закрытые картинки по известному урлу тоже доступны. но у него есть одна фича - если у картинки уровень доступа поменять на более защищенный, то автоматически меняется урл.

[identity profile] linker.livejournal.com 2008-07-21 01:18 pm (UTC)(link)
У Фоток есть одна фича - если у картинки уровень доступа поменять на более защищенный, то автоматически меняется урл.

"не показывать на других сайтах" называется.

Понятно, что это недостаточная для некоторых целей секурность, но у нас массовый развлекательный сервис, а не интернет-банкинг.

[identity profile] dil.livejournal.com 2008-07-21 03:18 pm (UTC)(link)
Только не "если у картинки уровень доступа поменять на более защищенный", а если включить "не показывать на других сайтах".

Когда я поменял с "только для друзей" на "только мне", урл остался старый, и по нему картинку всё ещё видно: http://dil.livejournal.com/676091.html?thread=4095227&format=light#t4095227

А теперь вопрос: где всё это сакральное знание изложено в доступном пользователям виде?

[identity profile] dil.livejournal.com 2008-07-20 10:13 pm (UTC)(link)
и кстати, поясни, пожалуйста, чтО и где я передёргивал

[identity profile] linker.livejournal.com 2008-07-20 10:22 pm (UTC)(link)
неа, извини, не желаю перечитывать твой без сомнения, интересный журнал.

а в общем — передёргивал касательно ЯФ.

[identity profile] dil.livejournal.com 2008-07-21 06:32 am (UTC)(link)
Слив засчтан.
Специально для нежелающих перечитывать есть поиск: http://blogs.yandex.ru/search.xml?text=%D1%84%D0%BE%D1%82%D0%BA%D0%B8&ft=blog&server=livejournal.com&author=dil

[identity profile] linker.livejournal.com 2008-07-21 06:55 am (UTC)(link)
(рыдает)

[identity profile] http://users.livejournal.com/_windwalker_/ 2008-08-08 08:48 pm (UTC)(link)
Мдя. Гугль в этом плане честен.
Flat | Top-Level Comments Only