« QRコード使います? | メイン | Google Earthで販売促進 »

mixiの画像

mixiにて、サイト内の画像のURLが分かれば、ログインしていない状態でも画像を見ることができてしまうという問題があるようです。

葉っぱ日記 - mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について
おさかなラボ / Blog Archive / MixiとCookieドメイン
スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解

mixiのサイトのドメインは"mixi.jp"であるのに対して、画像のドメインは"img.mixi.jp"。このドメイン名の違いが、Cookieによる認証の妨げになっていて、ログインしていないと画像を見ることはできないという制御を入れるのは、技術的に無理だとさじを投げてしまったみたいですね。

↓mixiにログインしていない人でもこの画像が見られるはず。(僕のプロフィールの写真です)

http://img.mixi.jp/photo/member/19/52/151952_3274386769.jpg

結構お粗末な話だなぁと言うのが正直な感想。

「会員制」というのを大きくプッシュしていたわけだから、サイト内の情報はどんな情報でも認証を通らないと見られないように制御しておくのが当然と言えば当然なわけで。

一応ヘルプに↓こういう記述を追加することで一旦収束に向かわせているみたいですね。

Q.掲載した画像のURL をログアウトした状態でクリックしても、画像を見ることができる?
A. mixi は会員のみが見ることの出来る招待制サイトですが、mixi にアップした画像は、そのURLからmixi の外でも画像を見ることが出来てしまいます。ブロック機能実装に向け改善と検証を重ねている状況ですが、他人と共有する可能性のある画像を、100%外部から保護することはできないというのがインターネットの現状とも言えます。 ユーザーの皆さまにおかれましては、mixi にアップする画像につきましても、上記の可能性を踏まえた上で掲載していただければ幸いです。

「他人と共有する可能性のある画像を、100%外部から保護することはできないというのがインターネットの現状とも言えます」と言う部分がちょっと、といか結構言い訳臭いです。話をインターネット全般に広げちゃっているし。

ま、僕は情報を一つのサービスがクローズドに囲い込んじゃうのは反対ですし、mixiに秘密の画像とかアップしていないんで、別にどーでもいい話だったりするんですが。