愛車:マツダアテンザ
Webを中心とした、ビジネス&テクノロジーに関する思いつき
by F-shin
[ このサイトについて ] [ F-shinについて ] [ トップ ]
author:えふしん
photo_20.jpg
藤川真一について

モバツイの中の人
マインドスコープ(株)社長
人の良いジョンカビラと言われます。
AMN sponsor rolls
モバツイの2つのスマートフォン
アンドロイドアプリ!
アンドロイドアプリ モバツイtouch
全てのスマートフォンブラウザと、Nintendo3DSで! HTML5版Webアプリ「モバツイsmart」
本を書きました!
100万人から教わったウェブサービスの極意 ~「モバツイ」開発1268日の知恵と視点
Google Friend Connect
このカテゴリ[Web系]の最新30件
インターネットの可能性を信じて〜本を書きました。 ネットショップに20万円は高いという感覚は割と普通の感覚だと思う。 ソーシャルメディアの生かし方 インターネットは芸術だ ECサイトはGoolge検索エンジンのプラットフォームに乗ってることを自覚せよ Ubuntu 8.0.4でTwitter apiのSSL通信ができなくなった人向けのメモ インターネットを支える仮想共同体 twitterとfacebookのレイヤーは違う 文脈が共有できていないフロー型コミュニケーションの問題点 身も蓋もなくなるインターネット フェイスブックページっで起きるかなぁ?!って思ってること。 非公式RTじゃないとできないこと。公式RTが目指したもの。 ツイッターのつぶやき価値 ネットコミュニケーションは万人の手段ではない AWS東京リージョンとtwitter apiの関係 Facebookがインターネットになると困る デジタルネイティブではない30代のつぶやき ネチケットとアーキテクチャという法律のあいだに。 相撲の八百長問題に見られる、ITによるフローのストックという構図 Webエンジニアスキルの勘所 ツイッター面白いね WebSig一日学校で考えてたこと ソーシャルメディアについてのメモ User Streamの先にあるtwitter Web Creation Awardsにノミネートされました。 携帯Webのクッキー利用について調べてみたメモ【update】 twitterドラマと今後のツイッター デジハリの杉山学長賞をいただきました。 日経電子版を流行らせる一つの思いつき 商品の良さとリンクは、140文字で伝えなさい
[このカテゴリをもっと見る]
Syndicate this site (XML)
Powered by
Movable Type
マインドスコープ

October 18, 2006

mixi心配です。[Web系]

ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
-----------------------------------
2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。

  ~中略~

IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容は、「システムの改修にて試みましたが、いくつかのプラットフォームにおいてログインができなくなった」「全ユーザーに対応させることは非常に難しい」というもので、改修しないということで取り扱い終了となったそうだ。
-----------------------------------

この話って前からありましたよね。
まだ対応してなかったんですね。てっきり対応したものかと思ってました。

2005年2月の書いたエントリ
CMSブームで忘れられているもの[Web系]
mixi日記のJPG画像とかGREEの例の一件もそうなんですが、ログイン認証が存在するサイトに登録した情報や、アップロードされたファイルが実は外から丸々アクセス可能ですというのは、利用者にしてみると「そんなこと知らなかった」と裏切られた気分になることも多々あるはずです。

基本的なメタファとして、ログイン認証されたサイトは、すべてがログイン認証で守られていると考えるのが自然です。

(それ以外に書いてあることは、当時は、まだ未熟者なので突っ込まないでください)


これって、Servlet Filterとか、Oracle File Systemとか使って解決できないんでしょうか?
mixiお金あるんだから、お金で解決しましょうよぉ。

頭の良い人たちがよってたかって考えての結論なんでしょうけど、なんとなく、「止められない」という経営判断の方が優先されているような気も....。

ヘルプでこんな過ちを防ぐことができないのは、世の中の先人達が証明しているわけで、それを盾に責任回避、とか言われたら嫌かも、というのはあります。

いずれにせよ、いくつかの情報漏えい事件が起きた後に、世論の圧力で対応せざるを得ない状況に追い込まれるような気がするんですけど、考えすぎですかねぇ。いやぁ、そんなことはないような。

-----------------------
さて、追記。
さっきは勢いで書いてしまってバカっぽい文章なので、もうちょっとちゃんと書く。

「mixiの画像ファイルは1日に23Gバイトずつ増える」---バタラ・ケスマCTO
>キャッシュ・サーバー「Squid」や外部のCDN(Contents Distribution Network)サービスを
>使って,画像ファイルを配信しているという。

画像は増えまくるし、配信もCDNやキャッシュサーバなどに依存してしまってる現状では、なんともならんってところが現実なんでしょうね。

CDNのDNSの問い合わせに認証を組み込むようなものってできないんですかね。
シスコのCDNとかって、そういうことができたような。まぁ半端な負荷じゃないからやめておいた方が良いような気はもちろんしますけど。

今のmixiって機能が中途半端なところがあって、日記を相手の最新日記に表示させないという機能があるけど、それをオフにしても、相手の人が自分のポータルにアクセスすれば日記の存在がわかってしまうんですが、それって人間関係を余計こじらすきっかけじゃないですか。

嘘をつくときはとことん嘘をつけという言葉通り、そういう機能をつけるなら、マイミクを継続していても、日記の存在は全く見せないか、そういう機能はそもそもつけないか、のどちらかの方が良いと思います。

こういうのにせよ、ポータル画面の表示/非表示にせよ、ギリギリの線を綱渡りしてる感は否めません。

で、それ自体はがんばっていくしかないと思うんですが、ギリギリアウトなところがマスコミに取り上げられていくんでしょうなぁと思うのですが、どこまで逃げられるのかが心配です。

もはやグローバル空間とたいしてかわらないという意味で言えば、いっそオープン型のSNSにした方が気軽なのかも。

--------------------------
更に追記。

はてブコメントに以下のコメントをつけてみました。

>一日23GBとか言ってるし、CDN使ってるし、オープンソースでは解決は
>無理なのかなと思うけど、enterpriseなソリューションを使っても
>解決できないの?誰か知ってる人いない?
>(そこが金使えというポイント)

SunとかHPとかOracleとか、その辺を活用するSIerさんが見てたら、こんなんどう?ぐらいでもかまわないので教えて欲しいです。

■同じカテゴリ[Web系]のエントリー
<<前の記事 なんかイジメっぽいね。
>>次の記事 [News]Shibuya Perl Mongersをストリームライブ配信

End Of 「mixi心配です。」
■このblogの書き込み最新3件
インターネットの可能性を信じて〜本を書きました。 バルスのツイート機能に関する謝罪を書いたら沢山反応があった件 モバツイの広告の取り組みについて、発表資料の共有