新ガラマニ日誌

ガラリアさん好き好き病のサイトぬし、ガラマニです。

mixi画像は外部から丸見えだった

ミクシィが、いくらパスワードで囲まれてても、日記を「友人まで公開」にしても、アルバムをパスワード請求制にしても、こと画像に関しては、へどっつも囲まれていないのだ、無駄無駄むだーっというお話し。しっ、知らなかった…

スラッシュドットジャパン「ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解」
http://slashdot.jp/security/06/10/17/1958219.shtml

例えば、こうです。今、mixiにログインしたまま、同じブラウザでこのブログを開いている方へ。そのままでまず、下記URLを開いてみて下さい。ガラマニのミクシィ日記に載せた、画像のみのURLですから、ミク会員にとっては、いつもの「ミクシィ内にいる気持ち」でこれを開くことになると思います。
(ところが、非ミクシィ会員の方、ログアウト済みの会員の方にも、もうこれクリックしただけで、俺のおねぐり写真が見えてしまうんです。)
http://ic51.mixi.jp/photo/diary/97/88/229439788_208.jpg

次に、このURLのみを、コピペなどして保存し、mixi右上の「ログアウト」をクリックして下さい。すると、ログアウトしたあなたのブラウザ画面は、mixi会員でない、全世界のみんなと同じ状態になります。メルアドとパスワード入力の初期画面です。
http://mixi.jp/home.pl

ブラウザをいったん閉じて、なんでもいいのでmixi以外のサイトでブラウザを開いて下さい。(ミクシィ内にいる気持ちぃ〜をなくすためのお勧めです)。そして、アドレスバーに、先ほど保存した俺の日記画像URLを貼り付けて下さい。

ハイ、ミク内限定だと思い込んでいた、さっきのおねぐり写真が、見えちゃいました。キャー。というわけです。mixi内だから、プライベート写真公開出来るわん、マイミクのみだから大丈夫、という考えは、金輪際お捨てになるがよろし。

このバグは知らなかったなあ。以前、mixi内の某コミュに、俺のダンバインリンク知人のイラストが無断転載されていた時、非ミクシィ会員である作者に「こんなふうにあなたの絵が転載されている」と見せることが出来なくて、説明するのがたいへんだったのですが、あの時、このやり方を知っていたらなあ。転載状態を見せてあげれたのに。

てか、ミク内の画像は全て、外部に見せてあげることが出来るんなら、SNSの意ー味なーいじゃーん。今日の朝日新聞の土曜版別冊ふろく、「be on saturday」一面にはドデカデカデカと、ミクシィ社長たんの写真記事が載ってるわけですがね。会員数570万人にして、直せませんでしたすみませんと言っているこのバグ。もはやミクは、SNSではない、単なるパスワードに囲まれた、単なるネットワークだと思わねばなりませんね。しかも会員限定にエンクロージャーされてるのは画像以外、だけ。画像はダダ漏れ。URLバラすバラさないの問題でないのは、俺が論じるまでもないでしょう。

参考1:id:kanose さん作「ARTIFACT@ハテナ系より
[SNS]mixiの画像はURLがわかれば誰でも見られる仕様はどのぐらい認知されてるんだろうか
http://d.hatena.ne.jp/kanose/20061019/miximage
どのぐらい…ミクシィ開設当時から居座ってた俺がさっき知ったぐらいですぅ〜 orz
参考2:BigBangさん作「mixiの画像表示に関する脆弱性と、上場企業としての対応のあり方」
http://ultrabigban.cocolog-nifty.com/ultra/2006/10/mixi_1a3a.html
詳しく解説し、批評されておられます。
参考3:雨崎良来さん作「mixi内の画像はブロックしていても外から見えます。」
http://ep.blog12.fc2.com/blog-entry-584.html
雨崎さん、トラックバック下さってありがとう御座います!知らないことばかり、教えていただき誠にありがたく思います。11/18、mixi運営局発表によりますと、ログアウト済みのブラウザからは、mixi画像は見えないように修正したと。確かに、11/18以前は見えていた画像が見られなくなってます。批判の声に突き動かされたようですねえ…運営局、やれば出来るんじゃん…ただ雨崎さんの記事によると、ブラウザの種類によっては、まだ見られる状態だとのことです。