หากคุณจะใช้โฮสต์ภาพวางรูปภาพของคุณและตั้งค่าเป็นส่วนตัวคุณคาดหวังให้ทุกคนเข้าถึงได้หรือไม่ เห็นได้ชัดว่าเป็นกรณีที่ Smugmug ซึ่งการตั้งค่าส่วนตัวก็หมายความว่ารูปภาพและแกลเลอรี่ภาพไม่ได้เชื่อมโยงโดยตรงจากหน้าแรกอีกต่อไป แต่ยังสามารถเข้าถึงได้โดยเพียงแค่ป้อน URL โดยตรงในแถบที่อยู่ของเบราว์เซอร์หรือตัวจัดการดาวน์โหลด
ปัญหาที่แท้จริงเกิดขึ้นเนื่องจากไฟล์ถูกตั้งชื่อตามลำดับที่ Smugmug ซึ่งหมายความว่าทุกคนที่มีความรู้ด้านเทคนิคเพียงเล็กน้อยจะสามารถดาวน์โหลดภาพทั้งหมดจากแกลเลอรี่ทั้งหมดที่ตั้งค่าเป็นสาธารณะและส่วนตัว แกลเลอรี่เดียวที่ไม่สามารถเข้าถึงได้คือคลังที่ป้องกันด้วยรหัสผ่านอย่างชัดเจน
URL ของแกลเลอรี่สามารถเข้าถึงได้โดยเปิด URL ที่เริ่มต้นด้วย //www.smugmug.com/gallery/* ตัวอย่างเช่น //www.smugmug.com/gallery/1000, //www.smugmug.com/gallery/ 1001 ในเบราว์เซอร์ของคุณ รูปภาพสามารถเข้าถึงได้โดยตรงโดยการโหลด //www.smugmug.com/photos/*-M.jpg ในเบราว์เซอร์ของคุณโดยที่ * เป็นตัวเลขระหว่าง 1 ถึง x ดังนั้นทุกคนสามารถเข้าถึงรูปภาพเช่น //www.smugmug.com/photos/1000-M.jpg, //www.smugmug.com/photos/10001-M.jpg เป็นต้น
Google Blogoscope ผู้ค้นพบช่องโหว่นี้ได้ติดต่อ Smugmug และได้รับคำตอบว่าไม่เป็นที่น่าพอใจ จากคำกล่าวของ CEO Don MacAskill นี่เป็นวิธีที่ควรใช้:
ก่อนอื่นเรามองว่าความปลอดภัยและความเป็นส่วนตัวแยกออกเป็นสองประเด็น แต่เกี่ยวข้องกัน การรักษาความปลอดภัยเปรียบเสมือนการล็อคประตูหน้าบ้านของคุณ (ไม่มีใครสามารถเข้าออกได้โดยไม่ต้องใช้กุญแจ) และความเป็นส่วนตัวก็เหมือนกับการปิดม่านหน้าต่างของคุณ (ไม่มีใครสามารถดูได้จากภายนอก แต่คุณสามารถบอกคนที่คุณอาศัยอยู่ได้ ไม่มีคีย์)
ที่ SmugMug ฟีเจอร์ที่คุณกำลังพูดถึงแกลเลอรี่ส่วนตัวตกอยู่ภายใต้ความเป็นส่วนตัวไม่ใช่ความปลอดภัย มันถูกออกแบบมาอย่างตั้งใจเพื่อให้คุณสามารถ "บอกคนอื่น ๆ " เกี่ยวกับรูปภาพของคุณ (แบ่งปัน URL ในอีเมลฝังหรือเชื่อมโยงหลายมิติในบล็อกหรือฟอรัมข้อความ ฯลฯ ) โดยไม่ต้องแชร์รหัสผ่าน มีเพียงคนที่คุณแชร์ URL นี้ด้วยเท่านั้นที่สามารถค้นหาแกลเลอรี่และ / หรือรูปภาพที่เป็นปัญหา
