「友人まで公開」では大事な写真は守れません
>イタズラ
で書いたとおりですが、
えーと、静的画像はログイン不要なんで、どっちでも見えますね。
なんだこの仕様。
と書いたように、画像はURLさえわかればミクシィのアカウントなんてなくても、
世界中どこからでも見える状態になっています。
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
に詳しく書かれていますが、
2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、
1年半たってようやく決着したという。
この欠陥は、mixi内でアップロードされた画像が、
mixiにログインしていなくても
画像のURLを指定すれば誰にでも閲覧できてしまうというもの。
そうです。
葉っぱ日記さんの
mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について
でも詳しく触れられていますが、ちょっとまとめると、
2005年5月9日 IPAへWebアプリケーションの脆弱性として届け出。
IPAへ脆弱性の指摘をされたそうです。
このIPAというのは、
ウェブアプリケーションの脆弱性の届出を受け付けている、独立行政法人です。
2005年5月10日、脆弱性として受理、翌11日取り扱い開始
すぐさま取り扱いを開始したのですが、
2006年4月6日、いったん取り扱い終了
すぐに、mixiの管理者から
本件に関し、システムの改修にて試みましたが、いくつかのプラット
フォームにおいてログインができなくなった事から、元の仕様に戻しま
した。
その後、いくつか施策を打ち、検討を行いましたが、全ユーザーに対応
させることは非常に難しいとの判断に至りました。従いまして本件に関しては、近々公開予定のユーザー向け啓蒙コンテン
ツの中で写真掲載時の注意を訴えて行く対応をとります。
という返答がIPAにあったため、IPAでは取り扱いを終了。
しかし、
2006年7月27日、再度 IPA に連絡
mixiでの啓蒙コンテンツの掲載が確認出来なかったため、
再度連絡をとったとの事。結果、
2006年8月14日、IPA経由で返答
mixiからIPAに、
mixi 上での写真などに関する啓蒙コンテンツですが、
8月末〜9月上旬頃には、完成してアップする予定です。
との連絡があったことを聞き、
2006年10月13日、IPA経由で啓蒙コンテンツの完成の連絡
で、
既に9月上旬頃にヘルプページに
「Q.掲載した画像のURL をログアウトした状態でクリックしても、画像
を見ることができる?」> A. mixi は会員のみが見ることの出来る招待制サイトですが、mixi にアップした画像は、
> そのURLからmixi の外でも画像を見ることが出来てしまいます。ブロック機能実装に
> 向け改善と検証を重ねている状況ですが、他人と共有する可能性のある画像を、
> 100%外部から保護することはできないというのがインターネットの現状とも言えます。
>
> ユーザーの皆さまにおかれましては、mixi にアップする画像につきましても、
> 上記の可能性を踏まえた上で掲載していただければ幸いです。
http://mixi.jp/help.pl#3gという文言を掲載させて頂いております。
という連絡がmixiからIPAに入ったそうですが…
すごく大事な情報なのに、これ見た事なんかないでしょ?
ひっそりと啓蒙コンテンツをカキコしておきます。
コメント
プルートフォースアタックへの脆弱性がのこっているので
URLしらなくても見られる可能性があります。
投稿者: 心は萌え | 2006年10月19日 17:33
確かに、URLを知っている必要性は全くないですね。
別にエントリおこしなおします。
投稿者: naotake | 2006年10月23日 23:54