Si me leéis de vez en cuando sabréis que me gusta trastear con las URLs de las webs que almacenan fotos. Esta vez me ha dado por estudiar la URL de facebook y he descubierto como ver en grande las fotos de perfil que no te dejan ver en grande (viva la seguridad). El tema es muy simple: parece ser que almacenan todas las fotos con el mismo nivel de seguridad y el acceso solo lo filtran desde la página del perfil de cada persona, pero hay una URL genérica la cual podemos modificar para ver la foto que nos de la gana.
Si copiamos y pegamos la URL de la imagen en pequeño de un eprfil tendremos algo aprecido a esto:
https://fbcdn-profile-a.akamaihd.net/hprofile-ak-frc3/c0.0.180.180/s200x200/<numeros>_a.jpg
Donde <numeros>_a.jpg es la parte que nos interesa.
Si vamos a nuestro perfil, ponemos la foto en grande y copiamos la URL, tenemos lo siguiente:
https://scontent-b-ams.xx.fbcdn.net/hphotos-prn1/<numeros>_n.jpg
Pero si copiamos la URL de la imagen de perfil en grande de otra persona tenemos esto otro:
https://scontent-b-ams.xx.fbcdn.net/hphotos-frc3/<numeros>_a.jpg
Como vemos las dos URL son casi idénticas y en casi todos los casos funcionan ambas, pero no siempre (creo), la que no me ha dado problemas es la segunda. Parece ser que ese es el nombre de la localización de las fotos (prn1, prn2, frc3…). De echo, si copiamos la URL de cualquier imagen en grande de FB, el principio de la URL es común a todas.
¿Cómo se hace el truco? Vamos al perfil del cual queremos ver la foto en grande, botón derecho y copiar URL de la imagen. De esta manera obtenemos una URL como la primera. Copiamos los números del final y los pegamos en la URL:
https://scontent-b-ams.xx.fbcdn.net/hphotos-frc3/<numeros>_a.jpg
En la parte en rojo y cambiamos la <a> que nos aparece por una <n> (no siempre aparece la a, pero si aparece no tendremos la foto en grande). Pegamos esta nueva URL en el navegador y, por lo menos en los casos que he testeado, veremos la foto de perfil de esa persona en grande, incluso sin estar logados con nuestra cuenta de FB.
Esa URL la puede conseguir directamente cualquier persona con acceso al album, es decir, cualquiera que vea tus fotos puede compartirla con quien ellos quieran, independientemente de los permisos que le dieras a la imagen.
Como veis, si simplemente hacemos algo tan inocente como modificar una URL accedemos a un formato de imagen que no deberíamos….. Cualquiera que consiga el ID interno (lo que llamo <numeros>) de una imagen podrá verla (y podrá compartirla) independientemente de la seguridad que le pongas a la imagen. Si bien es cierto que conseguir el ID no es trivial, si es cierto que, una vez conseguido, es como abrir la caja de Pandora, ya no hay marcha atrás. La buena noticia es que los números parecen aleatorios (o basados en la imagen), lo que dificulta su obtención. Si fueran números consecutivos, a partir de una foto cualquiera podríamos acceder a un album completo. Otra buena noticia es que el ID de la imagen tal cual no es el mismo ID que el de la imagen si copiamos la URL desde la barra de direcciones.
Eso si, el día que se deduzca el algoritmo que usa Facebook para generar estos IDs la cosa se va a poder liar demasiado (y solo lleva 5 minutos empezar a deducir como obtener una ID de album…).
Resumen: Facebook almacena todas las imágenes con un ID generado internamente y sin ningún tipo de control de acceso si entramos de la manera adecuada.
Esto simplemente sirve como recordatorio: si no quieres que se sepa o que se vea, no lo subas a Internet.
Nota: todo lo anterior es para el común de los mortales, cualquiera que tenga acceso a las herramientas de desarrollador de Facebook tiene acceso directo a todas tus fotos….
Comments