おさかなラボ - MixiはURIの長さとユーザのプライバシーのどちらが大事なのか
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解@slashdot.jp いや、解決できるでしょ。http://www.mixi.jp/ にすれば。Mixiは会員のプライバシーよりURIの短さを優先したと思われても仕方ないのでは。今、http://www.mixi.jp/ にアクセスするとhttp://mixi.jp/にリダイレクトする(しかもこの2つFQDNの実体は同じ)ようになってるんだから逆もすぐできるでしょ?それがなぜできない。 ともかくMixiが、「ログインしていない人でも会員しか見られないはずのプライベートな画像を閲覧できてしまう脆弱性」に「ギブアップ」したそうだ。slashdot経由で非常に遠まわしな弁解文が見られる。以前、MixiとCookieドメインでMixiがおかしなCookie情報の改変をしたことは既に書いたが、こういった背景があったとは恥ずかしながら
おさかなラボ - MixiとCookieドメイン
Mixiが、一時的にCookieのドメインを“mixi.jp”から“.mixi.jp”に変更して、一部ブラウザからアクセスできなくなるという現象が起こりました。これをmixi側は「古いブラウザを使っているのが原因。新しいブラウザに変えれば直る」と一蹴しましたが、この対策が妥当だったかはともかくとして、規格上、古いブラウザと新しいブラウザのどちらに問題があったのかを検証してみます。 “.mixi.jp”への変更が妥当だったかどうかについて。 Cookieについては当初Netscape社のテキトーなドキュメントのみが仕様として成り立っていた経緯があり、実装にかなり揺れがあります。特に Cookieの大元の仕様と、RFC上のCookieの仕様の2つの内容が相反していて、Netscapeの仕様の方はDOMAINの先頭にドットを入れることに言及がない(サンプルは先頭ドットなし)。一方、RF
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
