おさかなラボ

ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解@slashdot.jp

いや、解決できるでしょ。http://www.mixi.jp/ にすれば。Mixiは会員のプライバシーよりURIの短さを優先したと思われても仕方ないのでは。今、http://www.mixi.jp/ にアクセスするとhttp://mixi.jp/にリダイレクトする（しかもこの2つFQDNの実体は同じ）ようになってるんだから逆もすぐできるでしょ？それがなぜできない。

ともかくMixiが、「ログインしていない人でも会員しか見られないはずのプライベートな画像を閲覧できてしまう脆弱性」に「ギブアップ」したそうだ。slashdot経由で非常に遠まわしな弁解文が見られる。以前、MixiとCookieドメインでMixiがおかしなCookie情報の改変をしたことは既に書いたが、こういった背景があったとは恥ずかしながら知らなかった。

画像というものは、サイズが大きく帯域を取るしディスクへのアクセスが集中する（つまり高速なディスクアクセスが要求される）、その割にはCPUはあまり何もしなくて良い、というので画像専用のサーバーを立てることが多いのだが、こいつにはmixi.jp以外の名前を付けなければならない。これがアダになった模様。

もっと気になったのが、mixiの仕様変更でN901iSのフルブラウザなどでパソコン向けページが閲覧不能@memn0ck.comにあるMixiの弁解。

現在、原因の追求とトラブルの回避方法を検討中でございます。

少なくともMixiはこの時点でCookieの仕様について理解していなかったことになる。少し調べればRFC 2109がObsoletedであることはすぐ分かるし、Netscapeの仕様を読めばCookieのドメインを「.mixi.jp」にすればhttp://mixi.jp/にCookieが飛ばなくなってしまう方がむしろ正当な挙動であることはすぐ分かるはずだ。

この点について深く調べもせずに、不具合の理由もわからないまま

Netscape Communicator をご利用中のユーザー様は、 代替ブラウザとして、最新版のネットスケープやIEの インストールをお願いいたします。

「ブラウザを更新しろ」で済ませるというのはいささか傲慢ではなかったか。

カテゴリー » 雑文
投稿日 » 2006/10/19 木曜日 - 10:08:01 by かなだ
コメントはこちらからどうぞ。ご自身のサイトからトラックバックを利用する場合は以下の URI をご利用ください。

http://kaede.to/~canada/doc/mixi-gave-up/trackback/