En un sitio web que requiera que el usuario inicie sesión, y todo el contenido puede ser visto por cualquier usuario registrado, ¿hay algún punto en hacer URL de imagen oscura como "1mh9cr2m78234bc23-32xy4723nxy12.jpg" para proteger el contenido de la recolección automática? >
O es un esfuerzo inútil, ya que quien quiera obtener el contenido simplemente escribirá una araña que falsifica un inicio de sesión y rastrea todo el sitio, y también puede nombrar sus imágenes 1.jpg, 2.jpg, ...
La mayoría de los rastreadores automáticos no tienen tiempo para cumplir con los procedimientos de registro de todos los sitios web. Si los nombres de las imágenes no son "adivinables", los rastreadores no los recopilarán para analizar "toda la Web". Sin embargo, por supuesto, cualquier usuario registrado que pueda ver las imágenes podrá absorberlas todas (y no solo las imágenes, sino también todas las páginas web). La conocida herramienta de código abierto GNU Wget tiene marcas de línea de comandos para la exploración recursiva de páginas web.
Tenga en cuenta que el servidor puede saber, por construcción, quién realiza cada solicitud (eso es lo que significa que un usuario está "conectado"). Luego puede implementar reglas restrictivas como "no más de 10 imágenes por usuario y por minuto" o restricciones similares. Con tales reglas, un usuario empeñado en descargar todos sus archivos tendrá que crear muchas cuentas falsas, registrarlos todos y usarlos más o menos en paralelo. También puede filtrar la dirección IP de origen (si hay demasiadas solicitudes de una sola dirección IP en poco tiempo, elimine esa dirección temporalmente).
Todos estos elementos disuasorios son solo eso: formas de hacer que la tarea sea más lenta y difícil para los atacantes (si llamamos "atacantes" a las personas que quieren las imágenes, que es subjetiva). No obstante, los atacantes motivados los obtendrán.
En términos generales, cuando publicas un dato, se convierte en "público" y no puedes controlar realmente a dónde va. Este es el dilema de todos los proveedores de contenido multimedia: una vez que el archivo de música está fuera, está fuera.
No, normalmente la razón para usar nombres aparentemente aleatorios para las imágenes se debe a que desea evitar tanto la posibilidad de duplicados / sobrescrituras accidentales como también cualquier posibilidad de explotación de su servicio relacionado con el nombre del archivo cargado.
Dado que el nombre del archivo no es realmente importante para el navegador, es mejor elegir su propio nombre de acuerdo con su propio algoritmo en lugar de arriesgarse a tener problemas en el camino.
Es posible que desee ocultar las URL de las imágenes para que no puedan predecirse. Por ejemplo, no puede predecir las URL de las imágenes de Facebook porque si pudiera, podría acceder a las imágenes de todos, incluso sin ser sus amigos.
Pero aparentemente este no es su caso, por lo que no necesita ocultar las URL de las imágenes.
Lea otras preguntas en las etiquetas web-application attacks privacy