http://ic32.mixi.jp/photo/album/82/45/628245_3696954404.jpg(ソーシャル・ネットワーキングサイト [mixi(ミクシィ)])
http://ic36.mixi.jp/photo/album/82/55/628255_1906466948.jpg(ソーシャル・ネットワーキングサイト [mixi(ミクシィ)])
上、全体に公開設定している画像のURL。下、友達だけに公開している画像のURL
どちらも、mixiにログオフ状態で読めましたが、僕の環境の不具合でしょうか?
友達のみに画像を公開、友達がマークアップツールなので画像のURLを公開。(上記URLはツールで簡単にわかる)すると、普通にBlogなどから、mixi内の公開してないつもりの画像が他人から見られる?
どうやら、昔からの仕様なんですねー
画像は同じ物を使っています。コミックマーケットのカタログを撮ってみました。
というわけで、mixiで、友達まで公開などが有効なのは、テキストだけで、画像は守られていない。直接URLを指定すると見られる。ということでFA? 有識者の方検証を・・・
うちの設定ミス?
http://mixi.jp/show_picture.pl?img_src=http://ic34.mixi.jp/photo/diary/90/67/191649067_188.jpg
日記内の写真も、URLそのままでは、見えないが・・・
http://ic34.mixi.jp/photo/diary/90/67/191649067_188.jpgこの後ろの部分だけでアクセスすると・・・
orz
画像は、街中で取った風景画です、mixiとは何の関係もありません。
※本件はおそらく、仕様であり、セキュリティーホールではないんじゃないかとおもいますが
IDが短いために、プルートフォースアタックに弱いとおもわれる。
わりと、なんとなく・・・部分的に連番っぽいし・・・
確かに、公開範囲は、日記などなので、画像は公開範囲に含まれていないから、『友人まで マイミクシィまで』に設定しても、だれからでも見られても問題ないという解釈は可能日記内の写真も、URLそのままでは、見えないが・・・
http://ic34.mixi.jp/photo/diary/90/67/191649067_188.jpgこの後ろの部分だけでアクセスすると・・・
orz
画像は、街中で取った風景画です、mixiとは何の関係もありません。
関連
「Web 2.0」導入が進む中、後回しにされるセキュリティ - CNET Japan※本件はおそらく、仕様であり、セキュリティーホールではないんじゃないかとおもいますが
IDが短いために、プルートフォースアタックに弱いとおもわれる。
わりと、なんとなく・・・部分的に連番っぽいし・・・
開範囲について知りたい A.mixi では公開範囲を設定することによって、自身のプロフィール(一部)や日記などを閲覧するユーザーを限定することができます。公開範囲は下記の通りです。
・全体 mixi のユーザー全員
・友人まで マイミクシィまで
・友人の友人まで マイミクシィのマイミクシィまで
From:[ソーシャル・ネットワーキングサイト [mixi(ミクシィ)]]
なので、利用規約的には、日記は守るけど、画像は守らないよ。という事なのでしょう。
ちなみにYahooDaysなども同じ仕様みたいですが
http://proxy.f4.ymdb.yahoofs.jp/blog/44c9244fzfeed6ea6/3/__sr_/8473.jpg?mggSa1EBMlsGwuRA
mggSa1EBMlsGwuRA
という鍵がURLついていて プルートフォースアタックへの脆弱性に対応しているのですが
mixiはそれがないので、番号を加算して、総当たりかけたら、かなりの画像が無作為だけどGETできそう
顔写真とかは、mixiにはうっかりUPできないねぇ。
元ネタ
mixiの画像サーバー :: ぼくはまちちゃん!あのサーバーを使って、高速化するなら、こういう事だろうなと思った結果、やっぱりそうだった。
サーバー名がわかると、それだけで、セキュリティリスクは増大するという例であるかもしれない。
