Встроенная ссылка

Использование связанного объекта на одной веб-странице на другом сайте

Встроенные ссылки (также известные как hotlinking , piggy-backing , direct linking , offsite image grabs , bandband theft [ ^1] и leeching ) — это использование связанного объекта, часто изображения, на одном сайте веб-страницей, принадлежащей другому сайту. Говорят, что один сайт имеет встроенную ссылку на другой сайт, где находится объект.

Встроенные ссылки и HTTP

Технология, лежащая в основе Всемирной паутины, протокол передачи гипертекста (HTTP), не делает различий между типами ссылок — все ссылки функционально равноценны. Ресурсы могут располагаться на любом сервере в любом месте.

При посещении веб-сайта браузер сначала загружает текстовое содержимое в виде HTML-документа. Загруженный HTML-документ может вызывать обработку других HTML-файлов, изображений, скриптов и/или файлов таблиц стилей<img> . Эти файлы могут содержать теги, которые предоставляют URL-адреса , позволяющие отображать изображения на странице. HTML-код обычно не указывает сервер, что означает, что веб-браузер должен использовать тот же сервер, что и родительский код ( <img src="picture.jpg" />). Он также допускает абсолютные URL-адреса, которые ссылаются на изображения, размещенные на других серверах ( <img src="http://www.example.com/picture.jpg" />).

Когда браузер загружает HTML-страницу, содержащую такое изображение, он обращается к удаленному серверу, чтобы запросить содержимое изображения.

Распространенное использование связанного контента

Возможность отображения контента с одного сайта на другом является частью изначального дизайна гипертекстовой среды Интернета . Распространенные варианты использования включают:

Нарушением авторских прав является создание копий работы, на которую у лица, делающего копии, нет лицензии, однако нарушение не возникает, когда повторный пользователь предоставляет простую текстовую ссылку в HTML-документе, которая указывает на местоположение исходного изображения или файла (называется просто «ссылка»). ^[2]
Веб-архитекторы могут намеренно разделять изображения сайта на одном сервере или группе серверов. Размещение изображений на отдельных серверах позволяет сайту разделить требования к пропускной способности между серверами. Например, сайт с большим объемом данных Slashdot хранит свою «главную страницу» на slashdot.org, отдельные истории на таких серверах, как games.slashdot.orgили it.slashdot.org, и обслуживает изображения для каждого хоста с images.slashdot.org.
Статья на одном сайте может ссылаться на защищенные авторским правом изображения или контент на другом сайте с помощью встроенных ссылок, что может помочь избежать проблем с правами и собственностью, которые могут возникнуть при копировании исходных файлов. Однако такая практика обычно не приветствуется из-за возникающей в результате нагрузки на полосу пропускания источника, а поставщик источника часто обижается, поскольку зритель не видит всю исходную страницу, которая обеспечивает предполагаемый контекст изображения.
Многие веб-страницы включают баннерную рекламу . Баннерная реклама — это изображения, размещенные компанией, которая выступает в качестве посредника между рекламодателями и веб-сайтами, на которых появляется реклама. <img>Тег может указывать URL-адрес CGI- скрипта на рекламном сервере, включая строку, однозначно идентифицирующую сайт, производящий трафик, и, возможно, другую информацию о человеке, просматривающем рекламу, предварительно собранную и связанную с файлом cookie. CGI-скрипт определяет, какое изображение отправлять в ответ на запрос.
Некоторые веб-сайты используют хотлинк с более быстрого сервера для увеличения скорости загрузки клиента.
Счетчики посещений или веб-счетчики показывают, сколько раз была загружена страница. Несколько компаний предоставляют счетчики посещений, которые поддерживаются вне сайта и отображаются со встроенной ссылкой.

Спорные случаи использования встроенных ссылок

Размывание границ между сайтами может привести к другим проблемам, когда сайт нарушает ожидания пользователей. В других случаях встроенные ссылки могут быть сделаны в вредоносных целях.

Сайтам с контентом, на которых хранится объект и с которых он извлекается, может не понравиться новое размещение.
Встроенная ссылка на изображение, хранящееся на другом сайте, увеличивает использование полосы пропускания этого сайта, даже если сайт не просматривается так, как предполагалось. Жалоба может быть связана с потерей дохода от рекламы или изменением воспринимаемого смысла через неутвержденный контекст.
Межсайтовый скриптинг и фишинговые атаки могут включать встроенные ссылки на легитимный сайт для завоевания доверия жертвы.
Сервисы с оплатой за контент могут пытаться ограничить доступ к своему контенту с помощью сложных скриптов и встроенных методов ссылок.
Встроенные объекты могут использоваться для выполнения атак drive-by на клиенте , используя ошибки в коде, который интерпретирует объекты. Когда объект хранится на внешнем сервере, ссылающийся сайт не имеет контроля над тем, будет ли и когда изначально полезный контент объекта заменен вредоносным контентом.
Запросы на встроенные объекты обычно содержат информацию о реферере . Это приводит к утечке информации о просмотренных страницах на серверы, на которых размещены объекты (см. отслеживание посетителей веб-сайта ).

Профилактика

Клиентская сторона

Большинство веб-браузеров слепо следуют URL для встроенных ссылок, хотя это часто встречающаяся жалоба на безопасность. ^[3] Встроенные изображения могут использоваться как веб-жучок для отслеживания пользователей или передачи информации третьей стороне. Многие инструменты браузера для фильтрации рекламы ограничивают это поведение в разной степени.

Серверная часть

Некоторые серверы запрограммированы на использование заголовка HTTP referer для обнаружения хотлинкинга и возврата осуждающего сообщения, обычно в том же формате, вместо ожидаемого изображения или медиаклипа. Большинство серверов можно настроить на частичную защиту размещенных медиа от встроенного связывания, обычно не обслуживая медиа или обслуживая другой файл. ^[1]^[4]

Часто используется перезапись URL (например, mod_rewrite с Apache HTTP Server ) для отклонения или перенаправления попыток хотлинков к изображениям и медиа на альтернативный ресурс. Большинство типов электронных медиа можно перенаправить таким образом, включая видеофайлы, музыкальные файлы и анимацию (например, Flash ).

Другие решения обычно сочетают перезапись URL с некоторыми пользовательскими сложными скриптами на стороне сервера, чтобы разрешить хотлинкинг на короткое время, или в более сложных настройках, чтобы разрешить хотлинкинг, но вернуть альтернативное изображение с пониженным качеством и размером и, таким образом, уменьшить нагрузку на полосу пропускания при запросе с удаленного сервера. Все меры по предотвращению хотлинкинга рискуют ухудшить пользовательский опыт на стороннем веб-сайте. ^[5]

Проблемы авторских прав, возникающие при использовании встроенных ссылок

Наиболее значимым юридическим фактом о встроенных ссылках, относительно соображений закона об авторском праве, является то, что встроенный линкер не размещает копию файла изображения на своем собственном интернет-сервере. Вместо этого встроенный линкер размещает указатель на своем интернет-сервере, который указывает на сервер, на котором владелец изображения разместил файл изображения. Этот указатель заставляет браузер пользователя перейти на сервер владельца и загрузить файл изображения на компьютер пользователя. Суды США сочли это решающим фактом при анализе авторских прав. Так, в деле Perfect 10, Inc. против Amazon.com, Inc. [ ^6] Апелляционный суд США по девятому округу объяснил, почему встроенные ссылки не нарушают закон США об авторском праве:

Google не... отображает копию полноразмерных фотографических изображений, нарушающих авторские права, для целей Закона об авторских правах, когда Google обрамляет встроенные связанные изображения, которые появляются на экране компьютера пользователя. Поскольку компьютеры Google не хранят фотографические изображения, у Google нет копии изображений для целей Закона об авторских правах. Другими словами, у Google нет никаких "материальных объектов... в которых зафиксировано произведение... и с которых произведение может быть воспринято, воспроизведено или иным образом передано" и, таким образом, не может передать копию. Вместо передачи копии изображения Google предоставляет HTML-инструкции, которые направляют браузер пользователя на компьютер издателя веб-сайта, на котором хранится полноразмерное фотографическое изображение. Предоставление этих HTML-инструкций не эквивалентно показу копии. Во-первых, HTML-инструкции представляют собой строки текста, а не фотографическое изображение. Во-вторых, HTML-инструкции сами по себе не вызывают появления на экране компьютера пользователя изображений, нарушающих авторские права. HTML просто передает адрес изображения браузеру пользователя. Затем браузер взаимодействует с компьютером, на котором хранится изображение, нарушающее авторские права. Именно это взаимодействие приводит к появлению на экране компьютера пользователя изображения, нарушающего авторские права. Google может облегчить пользователю доступ к изображениям, нарушающим авторские права. Однако такое содействие поднимает только вопросы ответственности за соучастие и не является прямым нарушением прав владельца авторских прав на отображение. ...В то время как встроенные ссылки и кадрирование могут заставить некоторых пользователей компьютеров поверить, что они просматривают одну веб-страницу Google, Закон об авторских правах... не защищает владельца авторских прав от [таких] действий...

Смотрите также

Ссылки

^ ab Ross Shannon (2007-02-26). "Кража пропускной способности". yourhtmlsource.com . Получено 2007-11-16 . Некоторые веб-мастера попытаются напрямую ссылаться на ваши изображения со своих страниц. К счастью, простое изменение конфигурации обеспечивает необходимое исправление.
^ Майк Масник (6 января 2010 г.). «Является ли встроенная ссылка на изображение нарушением авторских прав?». Techdirt . Получено 15 февраля 2014 г.
^ Томас С. Грин (2007-02-20). "Vista Security Oversold". theregister.co.uk . Получено 16.11.2007 .
^ Томас Скотт (2004-07-13). "Более разумное предотвращение хотлинкинга изображений". alistapart.com . Получено 2007-11-16 .
^ Александерсен, Дэниел (30 августа 2016 г.). «Ухудшение качества изображения как мера предотвращения хотлинкинга и сдерживающий фактор». Slight Future . Получено 1 сентября 2016 г.
^ 487 F.3d 701 (9-й округ 2007 г.).

[bandwidth-theft-1] Ross Shannon (2007-02-26). "Кража пропускной способности". yourhtmlsource.com . Получено 2007-11-16 . Некоторые веб-мастера попытаются напрямую ссылаться на ваши изображения со своих страниц. К счастью, простое изменение конфигурации обеспечивает необходимое исправление.

[2] Майк Масник (6 января 2010 г.). «Является ли встроенная ссылка на изображение нарушением авторских прав?». Techdirt . Получено 15 февраля 2014 г.

[3] Томас С. Грин (2007-02-20). "Vista Security Oversold". theregister.co.uk . Получено 16.11.2007 .

[4] Томас Скотт (2004-07-13). "Более разумное предотвращение хотлинкинга изображений". alistapart.com . Получено 2007-11-16 .

[5] Александерсен, Дэниел (30 августа 2016 г.). «Ухудшение качества изображения как мера предотвращения хотлинкинга и сдерживающий фактор». Slight Future . Получено 1 сентября 2016 г.

[6] 487 F.3d 701 (9-й округ 2007 г.).