Remote-Bilder mit Referer herunterladen (Plugin möglich?)

Ich arbeite an einer Migration zu Discourse und kenne SiteSetting.download_remote_images_to_local. Das ist großartig.

Wenn ich jedoch (langsam) neu backe, um sie alle herunterzuladen, stelle ich fest, dass Photobucket je nach Referer ein markiertes Bild liefert.

Ich habe kurz nachgesehen und es sieht so aus, als ob der Download in /lib/final_destination.rb gehandhabt wird. Ich könnte das wahrscheinlich vorübergehend nur für den Post-Migrations-Rebake patchen, aber das berücksichtigt nicht die hypothetische Situation, dass Leute Bilder von schlechten Bild-Hosts weiterverlinken. Ich denke, jeder vernünftige Mensch weiß, dass man Photobucket jetzt besser meidet, und ich weiß nicht von anderen, die Wasserzeichen verwenden, also vielleicht keine große Sache.

Meine Frage ist: Hat das schon jemand gelöst? Und kann das ein Plugin leisten? Ich habe noch nicht gelernt, wie Plugins funktionieren.

Alternativ: Wäre es ein schlechter Feature-Vorschlag, den Referer beim Herunterladen eines Remote-Bildes immer auf scheme://domain/ zu setzen? Wann wäre es jemals schlecht, wenn Discourse das selbst tun würde?

Wenn Sie sehen möchten, worüber ich spreche:

https://i1111.photobucket.com/albums/h475/scoobystuff/Stereo/S1080033.jpg

# Wasserzeichen:
curl -LO \
  'https://i1111.photobucket.com/albums/h475/scoobystuff/Stereo/S1080033.jpg'
# Kein Wasserzeichen:
curl -LO --referer 'https://i1111.photobucket.com/' \
  'https://i1111.photobucket.com/albums/h475/scoobystuff/Stereo/S1080033.jpg'

800×533 74.5 KB

Ich bin kein Fan von dem Wasserzeichen, das sie verwenden, aber es würde tatsächlich gegen die Nutzungsbedingungen von Photobucket verstoßen, einen falschen Referrer zu senden, um das Wasserzeichen zu verbergen, da eine ihrer Anforderungen für kostenlose Konten darin besteht, dass das Wasserzeichen bei der Verwendung für das Hosting enthalten ist. Kostenpflichtige Konten erhalten diese Wasserzeichen nicht.

Was?

Wie kommen Sie zu diesem Schluss? Es wurden keine Nutzungsbedingungen von einer Partei vereinbart, die lediglich ein Bild ohne Konto (oder sogar Authentifizierung) herunterlädt. Oder sie wurden dieser Partei überhaupt nicht vorgelegt.

Die Nutzungsbedingungen gelten für den Uploader. Insbesondere:

DAS KOSTENLOSE KONTO ERLAUBT KEIN HOSTING VON BILDERN. SOWEIT WIR NACH UNSEREM ALLEINIGEN UND ABSOLUTEN ERMESSEN EIN KOSTENLOSES KONTO ZULASSEN, EIN BILD ZU HOSTEN, WIRD DAS BILD EIN PHOTOBUCKET WASSERZEICHEN ENTHALTEN, DAS WIEDERSPIEGELT, DASS DAS BILD VON UNS GEHOSTET WIRD. WENN WIR IRGENDEIN KOSTENLOSES BILD-HOSTING ERLAUBEN, BEHALTEN WIR UNS DAS RECHT VOR, DAS BILD ZU BLOCKIEREN ODER DAS BILD NACH UNSEREM ALLEINIGEN UND ABSOLUTEN ERMESSEN ZU VERWISCHEN UND MIT EINEM WASSERZEICHEN ZU VERSEHEN. KOSTENLOSE KONTOINHABER WERDEN DRINGEND ERMÜTIGT, AUF EIN BEZAHLTES KONTO ZU WECHSELN, DAS HOSTING DURCH DRITTE ERLAUBT.

Darüber hinaus handelt es sich hierbei um eine Aussage, die lediglich die Fähigkeit des Kontos angibt („DAS KOSTENLOSE KONTO ERLAUBT KEIN HOSTING VON BILDERN… WENN WIR IRGENDEIN KOSTENLOSES BILD-HOSTING ERLAUBEN…“), und durch die Zustimmung wurde der Kontoinhaber lediglich darüber informiert. Wenn ich ein kostenloses Photobucket-Konto hätte und dieses Bild hochgeladen hätte, würde ich nicht einmal dagegen verstoßen, indem ich es in diesem Thema verlinke, da die Sprache nicht impliziert, dass ich zustimmen muss, eine solche Handlung nicht vorzunehmen. Der Zweck dieser Aussage ist, dass ein Inhaber eines kostenlosen Kontos Photobucket beispielsweise nicht wegen Dienstverweigerung verklagen kann.

Vergleichen Sie dies mit der folgenden Aussage, die ich mir ausgedacht habe und die nicht in ihren tatsächlichen Nutzungsbedingungen vorkommt:

DER INHABER EINES KOSTENLOSEN KONTOS STIMMT ZU, DAS KONTO NICHT ZUM HOSTING VON BILDERN ZU VERWENDEN UND BILDER NICHT ANDERWEITIG ZU HOTLINKEN.

Ein Freund hat auf seiner Instanz genau das getan, was Sie vorschlagen, und Photobucket hat seinen Server blockiert. Lassen Sie mich sehen, ob ich meine Kopie der E-Mail finden kann, die sie ihm geschickt haben.

meiner Meinung nach keine rechtliche Verletzung der Nutzungsbedingungen, aber Photobucket kann den Dienst nach eigenem Ermessen verweigern (sofern keine vertragliche Verpflichtung besteht). Ich wäre daran interessiert, die E-Mail zu sehen. Hat Photobucket seine E-Mail-Adresse aus dem Kontaktbereich seines Servers oder so etwas erhalten?

Vielen Dank für die Warnung! Wenn ich alle Photobucket-Bilder (bei der endgültigen Migration) entferne, werde ich dies sicher über einen Proxy oder etwas Ähnliches tun. Nicht, dass es wirklich wichtig wäre, lol. Niemand benutzt Photobucket mehr. Ich werde auch die Referer-Spoofing-Funktion nicht auf dem Produktionsserver belassen, aber hoffentlich wird dies für neue Dinge, die in Zukunft kommen, ohnehin nicht benötigt.

Obwohl es keine Verletzung der Nutzungsbedingungen wäre, könnte es eine Verletzung des DMCA (oder eine Verletzung eines anderen Urheberrechtsgesetzes eines anderen Landes) darstellen, eine Methode zu umgehen, die zum Schutz des Urheberrechts eines Bildes oder zur Kontrolle des Zugriffs auf das Originalbild verwendet wird.

Ich glaube nicht, dass das Fälschen von Referer-Headern als „guter Web-Bürger“ zählt, und wenn der DMCA tatsächlich gilt, wäre es sogar illegal, eine solche Software zu vertreiben.

Viele Import-Skripte haben ihren eigenen Code für den Download von Anhängen. Haben Sie in Erwägung gezogen, einen regulären Ausdruck zu erstellen und diese Logik auch auf Inline-Photobucket-Bilder anzuwenden – einschließlich des Referers?

Ich glaube nicht, dass Urheberrechtsverletzungen oder Umgehungen in diesem Fall zutreffen, da die Nutzungsbedingungen besagen, dass der Uploader alle Rechte behält (obwohl vielleicht irgendein Gesetz in irgendeinem Gebiet ausgelöst wird). Der Punkt bezüglich der Einhaltung des Standard-Browsing-Verhaltens und des Seins eines „guten Webbürgers“ ist jedoch angekommen – wenn Sie es so ausdrücken, macht es meiner Meinung nach keinen Sinn, Referer-Spoofing als offizielles Feature zu versenden.

Ja, ich sollte in der Lage sein, die Bilder (ohne Wasserzeichen) für meine Migration zu ziehen. In meinem Fall mit dem phpBB-Importer denke ich, es ist am einfachsten, Discourse selbst vorübergehend zu modifizieren, um den Referer beim Herunterladen von Remote-Bildern zu fälschen und einen Rebake durchzuführen, da der Importer keine Remote-Bilder speichert (außer Avataren).

Ich wollte hauptsächlich von Leuten hören, die dieses Problem schon einmal angegangen sind. Ich war auch neugierig, ob es technisch möglich wäre, dass ein Plugin dies tut (frage mich immer noch) und ob es überhaupt sinnvoll wäre, wenn Discourse ein solches Feature offiziell versenden würde (tut es nicht).

Die Tatsache, dass der Uploader seine Rechte behält - einschließlich des Rechts, die Nutzung und Verbreitung zu kontrollieren -, gibt anderen nicht das Recht, seine Inhalte ohne Erlaubnis zu modifizieren oder Wasserzeichen zu entfernen.

Das DMCA deckt auch die Zugangskontrolle ab, die hier zutreffen würde (d. h. sie haben das Recht, dieses Bild ohne Wasserzeichen nur dann bereitzustellen, wenn es von ihren Anzeigen umgeben ist, und das Entfernen dieses Mechanismus ist eine andere Art des Zugriffs auf das Bild, als sie es von Ihnen wünschen).

haha, vielleicht. Aber bedenke, dass so etwas wie youtube-dl immer noch auf GitHub ist. Das lässt Referer-Spoofing im Vergleich ziemlich harmlos erscheinen, und glaub mir, die RIAA hat wirklich versucht, es offline zu nehmen. Es war eine Weile in den „Nachrichten“, wenn man diese Art von Nachrichten verfolgt.

Lass mich das anders formulieren: youtube-dl ist nicht immer noch online, es ist wieder online, nachdem es abgeschaltet wurde.

Und das nur, weil legitime Anwendungsfälle existieren.

Das bedeutet nicht, dass alle Verwendungen legitim sind.

Sie besitzen keine Rechte an den Bildern, erkennen Sie das an.

Ich besitze vielleicht nicht die Rechte an allen, aber meine Benutzer tun es. Ich bin mir nicht sicher, worauf du hinauswillst. Sie haben auch den Wunsch geäußert, dass sie vor Link-Fäule geschützt werden.

haha. Bitte versteht, dass ich keine hitzige Debatte mit euch führen möchte. Wir sind hier alle gut drauf . Meine pedantische Sichtweise dazu:

Ja, aber nur abgeschaltet wegen Einschüchterungstaktiken. Es gibt ein legitimes rechtliches Argument gegen ihre Behauptungen. Auf jeden Fall hat niemand auf GitHub weiter Druck gemacht, und das sagt etwas aus. Organisationen, die gieriger und bösartiger sind als die RIAA, gibt es kaum.

Wenn man die Antwort der EFF als das vorherrschende rechtliche Argument/die vorherrschende rechtliche Theorie betrachtet, die GitHub überzeugte/ermutigte, die (falschen) Behauptungen der RIAA zurückzuweisen, ist der eigentliche Grund komplizierter und lehnt sogar die Umgehungsbehauptung ab.

Sicherlich, wenn Rechtsexperten nicht glauben, dass youtube-dl die Definition der Umgehung von DMCA 1201(a) verletzt, kann das Spoofen eines Referers nicht als eine solche Umgehung betrachtet werden.

Das ist natürlich nicht unbedingt wahr, aber man könnte zumindest davon ausgehen, dass Ihre Benutzer Ihnen zum Zeitpunkt der Veröffentlichung in Ihrem Forum eine Lizenz erteilt haben, sodass es deren Problem und nicht Ihres wäre. Daher ist Ihr Anwendungsfall dafür legitim, davon bin ich zu 100 % überzeugt.

Aber kein vernünftiges Open-Source-Projekt würde riskieren, wegen eines Rechtsstreits, selbst wenn es Recht hat oder Recht behält und der Beschwerdeführer nicht, ex parte gesperrt zu werden. Daher halte ich das Importskript für den richtigen Ort dafür.