SNS

My Photo

BooksBooks

無料ブログはココログ

« 北朝鮮核実験に寄せて・電波な予測になればいいけど予測する今後の朝鮮半島 | Main | ジェンダーを超えた孤独----中村中「友達の詩」 »

October 20, 2006

mixiの画像表示に関する脆弱性と、上場企業としての対応のあり方

これはちょっと驚いた。

この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。(ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解(スラッシュドットジャパン)

mixiのメインコンテンツは mixi.jp ドメインで提供されているけれど、画像は img1.mixi.jp ドメインで提供されているため、正常に Cookie が飛ばないといったあたりがネックになって、なかなか改善に至らないのではないかと思います…が、いろいろやり方はあるだろうにと思います。([SECURITY] mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について(葉っぱ日記)

mixiをやっている人は実験してみればいいと思うけれど、確かに画像表示には認証がかかっていない。記事投稿サーバのドメインと画像投稿のサーバのホストドメインが異なることから、cookieの共有ができないために起きる現象のよう。これについて、mixiはいったん改善を試みたが、IE以外のブラウザで見たときに認証不能などの障害が発生しており、

mixiの仕様変更でN901iSのフルブラウザなどでパソコン向けページが閲覧不能


結局ヘルプページで以下の掲示をすることでIPAの対応は終了ということになったようだが、この処理にもそう簡単に納得がいくものではないし、そもそもどれほどmixiのユーザーに認知されているのだろうか。

「Q.掲載した画像のURL をログアウトした状態でクリックしても、画像
を見ることができる?」

> A. mixi は会員のみが見ることの出来る招待制サイトですが、mixi にアップした画像は、
> そのURLからmixi の外でも画像を見ることが出来てしまいます。ブロック機能実装に向け改善と検証を重ねている状況ですが、他人と共有する可能性のある画像を、100%外部から保護することはできないというのがインターネットの現状とも言えます。
>
> ユーザーの皆さまにおかれましては、mixi にアップする画像につきましても、
> 上記の可能性を踏まえた上で掲載していただければ幸いです。
http://mixi.jp/help.pl#3g

という文言を掲載させて頂いております。

友人だけに公開と思ってアップした顔写真などは、URLを特定されれば、友人どころかmixiに登録していない一般ネットユーザーにも全部晒されることになり、悪意によって、特定の個人の顔写真やプライベートな写真が流出する危険を招くことになる。
最近mixiで重大な個人画像情報の掲示がなされて問題になっているだけに、なぜこの欠陥を改善できないのか、IPAも及び腰過ぎだと思う。

ちなみに、以前gooブログで起きていた、「記事を削除しても、その記事はメイン画面から非表示になるだけで、絶対URLを指定されれば見えてしまう」現象が、mixiにも起きていないかと思って実験したが、さすがにそれはなかった。(つまり記事を削除すれば、別ドメイン上の画像も削除される)

他のコメンターも言っているが、なぜ画像を別ドメインに置いたのか。おそらく、急激に増加する会員数にシステムの拡張がついていかなかったために、ディスク容量不足を別ホスト名のサーバで補おうとしたものと思われるが、今からでも遅くないので、同一ホスト名の大容量サーバに移転することで、あるいは認証セッションを管理する別の仕組みを導入すること等で問題は解決できるはずではないか。

そのために一時的にサービスを停止したり、更なる不具合の呼び水になることを恐れているのかもしれないし、表面に出ない技術的事情があるのかもしれないが、ヘルプファイルへの注意事項掲示だけでは、とても上場企業としての責務を果たしているとは思えないが、どうだろうか。

« 北朝鮮核実験に寄せて・電波な予測になればいいけど予測する今後の朝鮮半島 | Main | ジェンダーを超えた孤独----中村中「友達の詩」 »

Comments

Post a comment

(Not displayed with comment.)

TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/28156/12347669

Listed below are links to weblogs that reference mixiの画像表示に関する脆弱性と、上場企業としての対応のあり方:

» 僕の身にあらぬ疑惑がかけられているようなので、釈明しておきます。 [真性引き篭もり]
僕の身にあらぬ疑惑がかけられているようなので、釈明しておきます。 [Read More]

« 北朝鮮核実験に寄せて・電波な予測になればいいけど予測する今後の朝鮮半島 | Main | ジェンダーを超えた孤独----中村中「友達の詩」 »