スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解

jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容

[japanrock]

画像直URLのユーザーごとの公開制限は難しそうだなぁ

[webmarksjp]

slashdot

[makou]

CCCDがMacだとリッピング可能（正確にはちょっと違う）だという話を思い出した。CCCDがMac非対応的な書き方してたよな。

[yuki_2021]

トラブルが次々発見されるmixi。コアな個人情報を扱うサイトがこれでいいのかなと思う。

[masashichan]

こわいねえ

[garamani1983]

ししし、知らなんだ。こりゃたまげた。

[popona]

mixiに限った話じゃないみたいだけど、mixiだけはそれっぽく聞える

[a6m5]

これ 他にもありそう

[cheebow]

なんか、いろいろ問題になりそう

[namikawamisaki]

理論上わかるけどライトユーザでアレな写真を載せている人には衝撃

[azzo_q]

そもそも知らんかった...。

[endor]

インターネットそのものの性質のせいにするのはあんまりだなあ

[kdaiba]

落ち着いて考えないとわからない

[sumipan]

AmazonS3で作ったら毎月どのくらいお金掛かるんだろう

[taninsw]

画像データをDRM付き１コマ動画に変換してAkamaiで配信して、DRM認証を別サーバで実行という大袈裟で意味無い仕組みを考えた

[ukidousan]

1%を切り捨てられるのかな。コメントで見つけて吹いたけど、Googleイメージ検索で　jpg site:mixi.jp　とやってみると…／←こっそり対策された模様

[t2-news]

大変

[lovecall]

ギブアップわろすｗ　可愛いトコありますね。

[RIKKUN]

これは気を付けねば

[send]

そうだよなあ。

[blueday]

「インターネットの現状」吹いた。ものすごい責任転嫁。

[yappo]

AKAMAIしてるからじゃね？

[anhelo]

mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまう欠陥が、1年半たってようやく直せないので改修しない決着

[imount69]

バグ2.0=ヘルプで補え！

[MIZ]

何の冗談だそりゃ。画像ファイルは不可視ディレクトリに置いておいて、img.pl?num=20061018って感じでメンバー認証を経由しないと呼び出せないようにすればいいだけじゃないか。

[nirvash]

仕様かとおもっていた

[suVene]

『改修しないということで取り扱い終了となったそうだ』 ふーむ。

[ryu1ro]

複数cookieはくとかproxyにするとかできないのかな？

[TakahashiMasaki]

（だからmixiのURLはるなと……はるんなら内容の概要でもかけと（マジ怒（mixi未加入者のことは考えてない奴らがおおい

[myrmecoleon]

googleで検索できるのは意外。