はてなフォトライフが実はプライベートな画像を全世界に公開している件 - 公開こまたく日記
19:32タイトルは釣りですJK。はしたなくてすみません。 以前書いたEye-fiを手に入れたので利用できる有料オンラインストレージサービスを比較検討してみた以降、Flickrの有料アカウントを利用してフォトライフを送っています。無意識的に何気なくパシパシ撮っていた画像がお構いなしにすべてUPされてしまうので、ひたすら便利なもののセキュリティという意味ではトレードオフかななんて思いつつ使っています。 さて、はてなフォトライフやFlickrに代表されるオンラインストレージサービスですが釣りタイトルのように、... > 続きを読む
URL: | http://d.hatena.ne.jp/komatak/20090125/1232879571 |
---|---|
注目: | d:id:komatakの注目エントリー |
ブログパーツ: | 注目エントリーをブログに貼り付け |
カテゴリー: | コンピュータ・IT |
キーワード: | フォトライフ はてなフォトライフ プライベート はてな コントロール Hatena フレームワーク |
タグ: | security65 セキュリティ46 hatena35 はてな35 Web21 photo18 flickr18 webサービス14 privacy13 画像9 |
参考になった: | はい 0 0 いいえ |
はてなブックマークはインターネット上でブックマークを管理できるオンラインブックマークサービスです。自宅でブックマークしたページを会社や学校でも取り出すことができます。ブックマークやコメントを他のユーザと共有して楽しむこともできます ... もっと詳しく
ブックマークしているユーザー (192 + 28)
- riocampos 画像ファイルURLを直接指定すれば見れるのか…。対策希望。
- koumiya リソースに権限管理を導入するか。
- favril
- aykt
- HeavyFeather
- ganzigarame
- cohtan
- dosequis >RestFulな世界になるにつれて、またOpen Stackな世の中になって「リソース」の流通が当たり前になってくると、リソース単位のアクセスコントロールが必要
- as365n2 _[hatena_f]
- sqrt mixiとは同じだけど違う問題。画像URLがランダムなmixiと違ってfotolifeのURLは日付時刻形式なので総当りで簡単にヒットする。画像URLはリファラでうっかり漏れちゃうことがないから安心だね! という訳ではないので注意。
- comajojo
- setagayatagayase
- mochige
- asiamoth 本筋からズレたツッコミですが、Dropbox は「https://photos-1.getdropbox.com/...」といった URL(画像をクリックして下にある) だと誰でもアクセス可能です。
- renya
- graph なんだってー!香港女優とキャッキャウフフしてる写真がバレバレだ!
- youranus
- hotch_botch
- ryuzi_kambe これぶっちゃけ7~8年前に RealAudio で課金サーバ作ったときにめちゃ悩んだ。とはいえ rstp 使ってると採算あわないしなぁ。途中で Helix が出てきたので解決したけど。
- wanderingdj ハカーだ
- motoson
- whirl アリガチンA
- skznight
- nannte-0223
- saka39
- ask11
- kushii わ、わかった!
- atawi
- tricksterchaos
- POPOT
- smartbear
- j-imai
- monishim
- sankaseki はてなフォトライフが実はプライベートな画像を全世界に公開している件 - 公開こまたく日記
- takuya_1st mixiもずっと昔からこれと同じじゃん。何を今更。
- tarchan
- udukiyukia
- clouder
- colamune パーミッション設定はしっかりしようっていう話
- kwmr
- Kiske
- markup
- ka-wara Flickr、DropBoxにも言及/『HTTPサーバによる認証では(Basic,Digest方式)主にUIの観点や明示的ログアウトがしづらい等別の問題も多いのは判ってます。じゃあこれらの問題を解決するには?という観点でもOpenうんちゃらな話』
- juniper
- memoclip
- bunjack
- akkun_choi
- hatecha
- ryouchi ありがちな話だがよく考えて設計する必要があるねぇ。
- cyan0302 画像まで認証対象にしちゃうと重たそうだよねええ。DBにつっこめばいいんじゃね?みたいな時代でもあると思うけど。
- vogelzug
- Santamaria_morishi
- rokaz
- Kmusiclife ファイル本体へのアクセス
- gappy50
- rx7
- tacshiss
- kusigahama
- keijix
- amimotosan きっとプライベートゾーンにはもっとすごい写真が!!(妄想)/OpenPNEはDBだったと思います。認証前ページにも貼れるけど
- s00516 写真とか上げるコミュニティサイト作る時によくある問題。OpenPNEなんかはDBに画像保存して制御してたっけか。
- typewhite
- nekodora
- tyru
- wacky はてなフォトライフやFlickrでは画像(リソース)自体はアクセスコントロールされていないという話。過去にmixiでも問題になった件。/mixiの時ほど問題にはならないはず。
- qinmu
- YTPX
- uunfo 画像とかってたいていURLわかったらアクセスできちゃうよね。Dropboxはそもそも実ファイルがないよね、きっと。
- abc1cba あれ?プライベートモードあったっけ。
- jamg はてなフォトライフってプライベート設定できたのか。今知った…。
- mincemaker
- Kochel (プライベートモード時)画像掲載ページはブロックされるが画像本体は外部參照出來てしまうよ的なお話/mixiではこの件解決済みなんだろうか(幽霊部員につき情報に疎い)
- momo_htn
- yachimon
- b4-tt なるほどー
- hka
- adsty リソースURLが分かれば誰にでも見られてしまう件。実のところ、はてなハイク等を見ていれば普通に気付くことで、プライベートフォルダの画像だろうが何だろうがごく普通に公開されている。
- so_ra_to
- gkmond
- tinuyama
- nkoz
- mutuki_h
- makeabet010
- yasuaki1001
- zhenyan
- makura_a
- kanototori
- sky-graph 確かmixiも話題になって対処してたはず
- take23_yamamoto
- tsupo URL がわかっている人には見えてしまう、というのは、今までにもいろんなところで発生してる。複数のサービスが絡む場合は、結構やっかい。Twitterではprivateな人が写真投稿サービス経由で投稿した写真の扱いとか
- tokagex
- achobu
- anhelo DropBoxというのははてなフォトライフやFlickrと違って、画像そのもののリンクでもプライベート設定なら公開されないと
- marqs
- harumomo2006
- kawase07
- Sprewell
- omaya
- cool_ni_ikou
- SynBoo
- hinemosu_notari
- rikuo 割と前から指摘されてた点。ダイアリーも同様で、プライベートでも画像だけは見れるし。
- yuiseki
- retsu0708 『タイトルは釣りですJK。』←釣りになってない。
- mk16
- hatayasan
- mizusawa
- ysadaharu
- kose
- Makots
- GegegeMokeke mod_rewirteでチョコチョコって書けば解決かね・・・そういうわけにもいかんか
- venture
- rna >id:xevra そういう極論はサービス会社の低いセキュリティ意識を擁護してしまうってわかってて言ってるの?
- klim0824
- rindenlab
- hakobe932
- xevra どの会社のどんな完璧なプライベート設定であってもサービス会社の中の人には丸見え。Webサービスには他の人に見られちゃ困るものは絶対載せちゃダメ。Gmailとかも超危険。Webサービス利用時は全世界に公開のつもりで
- yuichiro0526
- tittea
- silverscythe mixiでもエライ昔に話題になったような。
- yukimi0721
- willnet ページ単位ではアクセス制御してるけど画像ファイルはアクセス制御できてないのでURLがわかっちゃうと大変という話
- eigokun
- ore_de_work youtubeで言うとlighttpd
- sugizou
- matsuo_atsushi
- yuu-kuni
- Bell000
- tomisima
- gabill
- shirasaki
- fedlic
- pikayan
- aki-akatsuki
- Hamukoro
- pochi-p
- tilfin ユーザー名とアップロード時のDateTimeだけでURIが決まるのはよろしくないかと。
- issm
- boyasan あるある
- shader
- w03wwww
- cloverleaf24
- Ichinose DropBoxすげぇって話。写真撮らないから使ってないけど、ためになりました。
- masuidrive
- emergent 知ってたけど気にしてなかった><;
- lome
- lepton9
- steam_heart
- kawausa
- A410
- nyubachi
- solitary_shell 昔、mixiで起きてた問題と同じ問題があるのか。
- lliorzill なるほど
- su_zu_ki
- sssdx
- yoshi0309
- razr
- nacookan 画像もDBに入れてアプリから出力するなら、割と普通にアクセス制御できる。まあ重いとかの問題はあるけど。
- donayama
- mod_jk わたしも映ったプライベート写真を誰かが勝手にUPしないか、不安。
- Blue-Period
- mfluder
- F-name 読む。
- outasight
- shoku-in
- rosa_nera
- xenoma 2009:01:24 20:12:12にハンバーガーを食ったことがわかった
- trashcan 今は亡きPrieaも。しかも引数のidが連番なものだからqあwせdrftgyふじこlp
- rams
- shrk
- inhouseneet ↓そうそう、あった。/人の振り見て我が振り直さないWeb業界
- k_wizard 前にmixiでそういうことがあったような
- asitaki
- toinami ヘルプがアレだよな。http://i.hatena.ne.jp/idea/10440 の頃より、そのあたりの説明が退化しているのか
- xisco
- t298ra ハイクからフォトライフの画像に飛んだとき、画像は見れるのにフォトライフは認証かかっていたりして、変だな、と思ったことがあったけど、脆弱性だったのか!URLさえ知らなければ大丈夫とは思うけど…。
- kkobayashi リソース単位のアクセス制御についてはもっと研究されてもいいと思うな。
- KoshianX あらら。
- cubed-l
- krogue
- gae
- mgkiller
- falseh
- m-bird なるほどど。これは怖い。
- otsune flickrもはてなfotolifeも「画像専用サーバー」で写真だけ振り分けてるからだよな。mixiの日記写真がurl分かるとマイミク以外でも見られた問題と同じか
- ultraist
- HiromitsuTakagi こういう批判はもっと皆で言っていかないとね。ただ、両者の違いがどこにあるかというと、URLパラメタなのかcookieなのかの違いにすぎないから、なぜcookieなら良くてURLだとダメなのかを示さないといけない。
- koma-tak リソースの非認証公開、ダメゼッタイ
- javid
- ockeghem 某ネットバンクは,取引明細PDFを全世界に公開している件。URLは乱数ですが
- mi1kman 昔mixiとかにもあった問題?今解決したんだっけ?
- hanazukin ま、なんであれ、プライベート画像は自分自身で管理がベストですにぇ
関連エントリー enhanced by Preferred Infrastructure
- はてなフォトライフをリニューアルしました - はてなダイアリー日記 d:id:hatenadiary 117 users
- プライベートな写真を認証鍵付きURLで共有できるようになりました - ... g:hatena:id:hatenafotolife 14 users
- 高木浩光@自宅の日記 - 旧はてなブックマークで社内情報が漏洩して... takagi-hiromitsu.jp 170 users
- はてなフォトライフにアニメーションGIFをアップできるようになりま... g:hatena:id:hatenafotolife 24 users
- asahi.com:アマゾン「ほしい物リスト」、他人に丸見え 本名も表示 -... www.asahi.com 138 users