Mixiで「友人のみに公開」の画像に脆弱性

2006
10.18

mixiで「友人のみに公開」の画像に脆弱性

僕も利用しているmixiだが、その中でセキュリティ上の問題があり、それが「あきらめました」状態にあるようだ。mixiの中の文書などはセキュリティが確保されており、許可のないメンバーや、勿論ログインしていないユーザーには見えないが画像は、その限りではないようだ。
「葉っぱ日記」さんのサイトにおいて、mixiの担当者とのやりとりが掲載されている。
当初、2005年の5月の段階で、いくつかの脆弱性を発見し、mixi/IPAにそのことを連絡している。
その中で、mixi内の画像が外部の非メンバーにURLさえわかれば見えてしまうということだ。しかも、「友人にのみ公開」と設定していてもである。
なので、ここまででひとまず、他人に見られては困るような画像は早速整理した方がよいかも知れない。
このホームページで、葉っぱ日記とIPAのやりとりは続き、最終的に2006年10月に「システムの修正では対応しきれなかったので、「ヘルプ」のページに

「ブロック機能実装に向け改善と検証を重ねている状況ですが、他人と共有する可能性のある画像を、100％外部から保護することはできないというのがインターネットの現状とも言えます。」

とあり、mixi側が白旗を揚げた形となっている。
う～む。

葉っぱ日記 – mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について

5) 脆弱性により発生しうる脅威
参加者にのみ公開が原則である、各メンバーの写真(顔写真や似顔絵)が、mixi 外から
アクセス可能。また mixi 内において「友人のみに公開」に限定している日記に掲載さ
れている画像が、友人以外および mixi 外からアクセス可能。