anonim_4396
| anonim_4396 a întrebat:

O intrebare pentru cunoscatorii din IT si nu numai.

Daca uploadez o imagine de pe PC, sa zicem un peisaj, pe un site gratuit de upload imagini ce are criptare https cum ar fi https://imgbb.com, dupa aceea inserez link-ul ce contine imaginea de pe siteul de upload pe un blog, un hacker sau un bun profesionist poate vreodata vedea de pe ce PC s-a urcat acea imagine si poate afla IP-ul, adresa acelui PC? Si daca da, cum poate face asta?

2. Am vazut ca multe siteuri de upload imagini iti dau posibilitatea sa copiezi ceea ce se numeste html full linked si sa-l integrezi pe un blog, forum etc - banuiesc ca acesta este si mai putin sigur.
Ma refer la cod de genul

15 răspunsuri:
Bula
| Bula a răspuns:

Evidenta sursei fisierelor upload-ate este doar la nivelul server-ului si este accesibila doar administratorilor acelui server.
Cei care se uita pe paginile de internet nu au acces la informatiile administrative ale serverelor.

| PainTech a răspuns:

1. Ar fi posibil, daca site-ul respectiv salveaza in baza de date adresa IP. Totusi probabilitatea unui astfel de atac e foarte mica, nu cred ca o sa se chinuie nimeni sa execute un astfel de atac pentru a afla adresa IP, mai ales in conditiile in care majoritatea adreselor IP sunt alocate dinamic.

De metadata EFIX ar trebui sa iti faci probleme, nu de adresa IP. Nu sunt sigur daca site-urile de acest gen sterg automat metadata cand incarci poza, deci ar trebui sa faci asta manual daca asta e o problema.

2. Acel "HTML full linked" e efectiv imaginea plus link catre site. E acelasi drac din punct de vedere a securitatii.

E posibil sa fie mai usor de aflat identitatea persoanei dupa blog decat de aflat identitatea persoanei dupa poza.

| Simpatic a răspuns (pentru PainTech):

Termenul de metadata imi suna oarecum cunoscut, insa cel de metadata EFIX nu, cum sterg asa ceva? win 10!

| Simpatic a răspuns (pentru PainTech):

Hehe eu stergeam detaliile la poze pana acum dar nu stiam ca contin aceste metadate.

| GPA a răspuns (pentru Simpatic):

Foarte important ce spune PainTech, pozele pot conține metadate : nume/numele aparatului foto/album/an/tipul fotografiei/locația...

http://www.softsea.com/download/Exif-Data-Viewer.html

Poți vizualiza întreg conținutul metadatelor și-l poți modifica înainte de-a trimite sau încărca pozele.

http://www.softsea.com/download/Exif-Data-Viewer.html

| Simpatic a răspuns (pentru GPA):

Salut, am testat azi acest soft si cele mai concludente 'metadate' si singurele care se pot modifica/sterge sunt :
Camera make :
Camera model :
Software :

| GPA a răspuns (pentru Simpatic):

Dar locația? Sau nu ai fotografiat cu locația activă? Locația ne interesează cel mai mult.

| Simpatic a răspuns (pentru GPA):

Ai dreptate, dar intrucat am facut test pe niste poze facute cu un aparat foto nu cu telefonul nu mi-a aparut nimic la rubrica "GPS sub-IFD"

| GPA a răspuns (pentru Simpatic):

Înseamnă că nu are sau nu a fost activată funcția de etichetare locație sau localizare în timp real. Da, așa poți încărca poza fără nicio problemă.

| Simpatic a răspuns (pentru GPA):

Cand o sa urc si niste poze de pe tel o sa vad daca la datele gps apare ceva, daca apare am sa le sterg!

| GPA a răspuns (pentru Simpatic):

Chiar te rog, la setările camerei trebuie să ai opțiunea de localizare pentru fotografie.

| Simpatic a răspuns (pentru GPA):

Probabil are sau nu are acest model, dar eu nu folosesc camera foto decat 1 data la 2 ani, in rest cu telefonul fac poze, insa la camera imi place ca le face mai wide (pe lat), telefoanele stii cum fac cand le tii in mod normal pe verticala...
Insa o sa verific poze de pe telefon, acolo cred ca au nativ si datele GPS.
Multumesc inca o data pentru acest programel.

| Zuzu1991 a răspuns:

Fetishul cu "ne ia IP-ul"
in teorie e posibil ca un hacker sa sparga:
- serverul pe care pui imaginea
- un nod intre tine si serverul respectiv
dar, probabilitatea e minora

in plus, pentru toti cei care au fetish-ul asta...
1. ip-ul nu e la tine in calculator ci pe router, care E protejat default, deci trebuie sa sparga routerul mai intai
2. pct 1. e in cel mai bun caz, in majoritatea cazurilor, IP-ul cu care iesi pe internet e in afara retelei tale
3. eu la digi, daca restartez routerul capat alt ip, chiar azi si-a gasit unul sa ma floodeze cu DDoS attack, am restartat routerul si adioz si n-am cuvinte, nu ma mai gasit
4. NUMAI daca ai abonament business cu ip fix si toate porturile deschise este semnificativ IP-ul, altfel, cum am scris si mai sus... SLABA MISCAREA

| GPA a răspuns:

Toate imaginile încărcate pe acel site sunt salvate în baza de date a serverului pe care este găzduit site-ul. La fel și conexiunile (ip-urile) externe care accesează serverul. Prin urmare, pentru a afla adresele IP ale utilizatorilor care au accesat serverul, trebuie ca marele "hacker" să-și obțină accesul la server mai întâi, adică să spargă credentialele de administrare. Personalul autorizat (stafful IT care se ocupă de mentenanță și suport tehnic-server poate vizualiza aceste informații oricând, prin intermediul logurilor înregistrate). Oricum, te pune in dificultate, ar lua prea mult timp acum să spargi baze de date, tehnologia de criptare a rețelelor a avansat.

Concluzie : Poți încărca imagini fără probleme, cât timp respectă o politică decentă (interzicerea conținutului NSFW/pornografic/abuziv s-a.m.d).
Nu se va chinui nimeni niciodată să-ți afle ție adresa IP, spărgând un server laughing. Nu cred că ești în online o persoană "atât de importantă" încât să fii vizat întotdeauna de atacuri asupra conturilor tale.