愛車:マツダアテンザ
Webを中心とした、ビジネス&テクノロジーに関する思いつき
by F-shin
[ このサイトについて ] [ F-shinについて ] [ トップ ]
iPhoneアプリ

他人に教えたくないようなお店も安心して記録しておけるアプリ
”ShopCard.me”
author:えふしん
photo_20.jpg
藤川真一について

初代モバツイ開発者
想創社再創業 / KMD博士課程
著書〜100万人から教わったウェブサービスの極意―「モバツイ」開発1268日の知恵と視点 [Kindle版]
お求めやすい夏休み特価!
このカテゴリ[Web系]の最新30件
本ブログは移転しました インターネットの遊び方を身につけよう ネットでの選挙活動と投票率 Web2.0がうまくいかなかったワケ WebにおけるMVCアーキテクチャの勃興と変遷 何故、PCはブラウザ、スマホはアプリなのか。 言っとくけどスマホは退化でもあるからな。 アイコン5000円とか、Web受注(発注)価格について。 残念なWeb論の骨子 HTMLってホントよく出来てるな。 「やまもといちろう×イケダハヤト対談イベント」のログを読んで ネットサービスの成功者は「とりあえず受託」という言葉使うのやめません? 全収集型RSSリーダーの終焉とソーシャル化するWeb 頑張ると報われるプログラマーの社会とは。 Perlが○○な話 アメリカ製品のすごさと不思議とワイヤフレーム どの人件費を考えても絶対にお得!利用規約ナイトがきっかけの本が出ます。 クラウドやモバイルを、もっと仕事で活用したいけど、どうやって会社を説得したら良いかわからない! スマホアプリらしいUXとは。 インターネットの変化に対して起こるモヤモヤすることを考え、整理する活動 Facebookは見なくてもいい情報が出てくるSNS 「あなたは影響力があるから、そんなことを言っちゃいけません」の問題点 Facebookに時間を取られすぎる対策 Paypalの本人確認がむかつく件 ネット系イベントがとても主催しやすくなった件 モバイルファーストが失敗なハズはないが、今はまだ時期尚早 やりがいはソートできない…非情なデータベース社会 2012年までのふりかえりと2013年へ ブラウザという平面の限界 ブログ記事の流通の難しさ
[このカテゴリをもっと見る]
Syndicate this site (XML)
Powered by
Movable Type

October 18, 2006

mixi心配です。[Web系]
スポンサーリンク

ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
-----------------------------------
2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。

  ~中略~

IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容は、「システムの改修にて試みましたが、いくつかのプラットフォームにおいてログインができなくなった」「全ユーザーに対応させることは非常に難しい」というもので、改修しないということで取り扱い終了となったそうだ。
-----------------------------------

この話って前からありましたよね。
まだ対応してなかったんですね。てっきり対応したものかと思ってました。

2005年2月の書いたエントリ
CMSブームで忘れられているもの[Web系]
mixi日記のJPG画像とかGREEの例の一件もそうなんですが、ログイン認証が存在するサイトに登録した情報や、アップロードされたファイルが実は外から丸々アクセス可能ですというのは、利用者にしてみると「そんなこと知らなかった」と裏切られた気分になることも多々あるはずです。

基本的なメタファとして、ログイン認証されたサイトは、すべてがログイン認証で守られていると考えるのが自然です。

(それ以外に書いてあることは、当時は、まだ未熟者なので突っ込まないでください)


これって、Servlet Filterとか、Oracle File Systemとか使って解決できないんでしょうか?
mixiお金あるんだから、お金で解決しましょうよぉ。

頭の良い人たちがよってたかって考えての結論なんでしょうけど、なんとなく、「止められない」という経営判断の方が優先されているような気も....。

ヘルプでこんな過ちを防ぐことができないのは、世の中の先人達が証明しているわけで、それを盾に責任回避、とか言われたら嫌かも、というのはあります。

いずれにせよ、いくつかの情報漏えい事件が起きた後に、世論の圧力で対応せざるを得ない状況に追い込まれるような気がするんですけど、考えすぎですかねぇ。いやぁ、そんなことはないような。

-----------------------
さて、追記。
さっきは勢いで書いてしまってバカっぽい文章なので、もうちょっとちゃんと書く。

「mixiの画像ファイルは1日に23Gバイトずつ増える」---バタラ・ケスマCTO
>キャッシュ・サーバー「Squid」や外部のCDN(Contents Distribution Network)サービスを
>使って,画像ファイルを配信しているという。

画像は増えまくるし、配信もCDNやキャッシュサーバなどに依存してしまってる現状では、なんともならんってところが現実なんでしょうね。

CDNのDNSの問い合わせに認証を組み込むようなものってできないんですかね。
シスコのCDNとかって、そういうことができたような。まぁ半端な負荷じゃないからやめておいた方が良いような気はもちろんしますけど。

今のmixiって機能が中途半端なところがあって、日記を相手の最新日記に表示させないという機能があるけど、それをオフにしても、相手の人が自分のポータルにアクセスすれば日記の存在がわかってしまうんですが、それって人間関係を余計こじらすきっかけじゃないですか。

嘘をつくときはとことん嘘をつけという言葉通り、そういう機能をつけるなら、マイミクを継続していても、日記の存在は全く見せないか、そういう機能はそもそもつけないか、のどちらかの方が良いと思います。

こういうのにせよ、ポータル画面の表示/非表示にせよ、ギリギリの線を綱渡りしてる感は否めません。

で、それ自体はがんばっていくしかないと思うんですが、ギリギリアウトなところがマスコミに取り上げられていくんでしょうなぁと思うのですが、どこまで逃げられるのかが心配です。

もはやグローバル空間とたいしてかわらないという意味で言えば、いっそオープン型のSNSにした方が気軽なのかも。

--------------------------
更に追記。

はてブコメントに以下のコメントをつけてみました。

>一日23GBとか言ってるし、CDN使ってるし、オープンソースでは解決は
>無理なのかなと思うけど、enterpriseなソリューションを使っても
>解決できないの?誰か知ってる人いない?
>(そこが金使えというポイント)

SunとかHPとかOracleとか、その辺を活用するSIerさんが見てたら、こんなんどう?ぐらいでもかまわないので教えて欲しいです。

スポンサーリンク
■同じカテゴリ[Web系]のエントリー
<<前の記事 なんかイジメっぽいね。
>>次の記事 [News]Shibuya Perl Mongersをストリームライブ配信

End Of 「mixi心配です。」
■このblogの書き込み最新3件
本ブログは移転しました インターネットの遊び方を身につけよう トトロが陽なら、『風立ちぬ』は陰?〜『風立ちぬ』の感想