Hatena::ブログ(Diary)

葉っぱ日記 このページをアンテナに追加

2006-10-17

[] mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について  mixi にアップロードした画像ファイルが認証なしに閲覧可能な件についてを含むブックマーク

先日書いた、mixi の画像の話の詳細。IPAとのやりとりの抜粋です。

mixiのメインコンテンツは mixi.jp ドメインで提供されているけれど、画像は img1.mixi.jp ドメインで提供されているため、正常に Cookie が飛ばないといったあたりがネックになって、なかなか改善に至らないのではないかと思います…が、いろいろやり方はあるだろうにと思います。

2005年5月9日 IPAへWebアプリケーションの脆弱性として届け出。

2. 脆弱性関連情報

 1) 脆弱性を確認したウェブサイトのURL
    ソーシャル・ネットワーキングサイト [mixi(ミクシィ)]
    http://mixi.jp/

 2) 脆弱性の種類
    mixiに参加していない人への画像の表示、非公開画像の公開

 3) 脆弱性の発見に至った経緯
    ソーシャルネットワーキングサイト mixi.jp では、参加者以外は mixi 内の情報
    を見ることができませんが、mixi 内に置かれている画像ファイル(img1.mixi.jp/...)
    は、mixiへのログインなしで表示が可能となります。
    ブラウザのURL欄にて直接URLをキーボードから入力したときに、ブラウザのヒストリ
    機能により発見しました。

 4) 脆弱性であると判断した理由
    mixi での情報は、mixi 参加者のみへの公開が原則と考えられ、メンバーの写真に
    顔写真を掲載している人も多い。それらが mixi 外部から簡単に見られるのは、
    脆弱性とは言えないまでも、セキュリティ上の問題と考えられる。

 5) 脆弱性により発生しうる脅威
    参加者にのみ公開が原則である、各メンバーの写真(顔写真や似顔絵)が、mixi 外から
    アクセス可能。また mixi 内において「友人のみに公開」に限定している日記に掲載さ
    れている画像が、友人以外および mixi 外からアクセス可能。

2005年5月10日、脆弱性として受理、翌11日取り扱い開始

2006年4月6日、いったん取り扱い終了

IPAセキュリティセンターです。

mixi 画像表示の件について、ご相談させていただきたい点があります。

本件について、これまでウェブサイト運営者に確認をとってきましたが、
最終的な対応報告として、以下の内容をいただきました。

===============================================================
本件に関し、システムの改修にて試みましたが、いくつかのプラット
フォームにおいてログインができなくなった事から、元の仕様に戻しま
した。
その後、いくつか施策を打ち、検討を行いましたが、全ユーザーに対応
させることは非常に難しいとの判断に至りました。

従いまして本件に関しては、近々公開予定のユーザー向け啓蒙コンテン
ツの中で写真掲載時の注意を訴えて行く対応をとります。
===============================================================

上記の報告により、本件の取扱いを終了させていただこうと考えますが、
いかがでしょうか。もし問題がありましたら、お手数ですが 10 営業日
以内にご連絡をお願いします。

2006年7月27日、再度 IPA に連絡

下記の件、Webサイト運営者より利用者に向けた啓蒙コンテンツで
注意を訴えるということを以って、取扱い終了に同意いたしましたが、
3ヶ月以上経過してもなお啓蒙コンテンツに相当するものや注意事項は
公表されておらず、脆弱性が解消されたとはいえない状況にあると
思います。

2006年8月14日、IPA経由で返答

IPA セキュリティセンターです。

mixi 画像表示の件につきまして、ご連絡いたします。

長谷川様からの啓蒙コンテンツが公開されていないとのご指摘を受け、
IPA としましても、ウェブサイト運営者に対応していただくべきと考え
ました。

そこで、ウェブサイト運営者に長谷川様のご指摘を連絡し、本件の対応
依頼とその予定の確認を行っておりましたが、本日、ウェブサイト運営
者より以下の内容をいただきましたので、ご連絡させていただきます。

=================================================================
mixi 上での写真などに関する啓蒙コンテンツですが、
8月末〜9月上旬頃には、完成してアップする予定です。
=================================================================

上記の報告によりますと、8 月末から 9 月上旬頃には対応するとのこと
ですので、その対応をお待ちいただけますよう、お願いいたします。

ウェブサイト運営者より、上記のコンテンツの公開による対応が完了し
た旨の連絡がありましたら、ご報告させていただきます。

2006年10月13日、IPA経由で啓蒙コンテンツの完成の連絡

IPAセキュリティセンターです。

本件に関しまして、運営者から対応に関する返答を頂きましたので、ご
報告いたします。

以下、運営者から。
------------------------------------------------------------------
既に9月上旬頃にヘルプページに
「Q.掲載した画像のURL をログアウトした状態でクリックしても、画像
を見ることができる?」

> A. mixi は会員のみが見ることの出来る招待制サイトですが、mixi にアップした画像は、
> そのURLからmixi の外でも画像を見ることが出来てしまいます。ブロック機能実装に
> 向け改善と検証を重ねている状況ですが、他人と共有する可能性のある画像を、
> 100%外部から保護することはできないというのがインターネットの現状とも言えます。
>
> ユーザーの皆さまにおかれましては、mixi にアップする画像につきましても、
> 上記の可能性を踏まえた上で掲載していただければ幸いです。
http://mixi.jp/help.pl#3g

という文言を掲載させて頂いております。
------------------------------------------------------------------

本案件について、長谷川様のご利用環境において上記啓蒙コンテンツを
確認できましたら、これをもって本案件を終了とさせて頂きたく考えて
おりますが、いかがでしょうか。

yoyo 2006/10/18 10:24 これってイメージをホストするサーバ群とメインコンテンツをホストするサーバ郡を一緒にすれば良いだけの話では... 送信元以外のイメージファイルをブロックする設定がブラウザにあったするので、できるだけ同じサーバ(ドメイン名)を使った方が良いのは常識では... イメージ共有サイトなどは普通(?)はコンテンツとイメージは同じホスト名で提供しません?? 画像をサブドメイン(場合によっては別ドメイン)から提供するのは結構迷惑な「サイトの仕様」だと思います。

aoiaoi 2006/10/18 12:50 画像が別ドメインであることと、「正常に Cookie が飛ばないこと」のリンク先の話(Firefox1.0.6だとsrc属性で指定したURLにCookieが飛ばないこと)は関係がないと思うのですがいかがでしょうか。

hasegawayosukehasegawayosuke 2006/10/18 13:37 あぁ、違うかも(笑 > aoi さん

TransFreeBSDTransFreeBSD 2006/10/18 16:46 /.経由なのでご存知かもしれませんが、
http://kaede.to/~canada/doc/mixi-and-cookie
http://www.memn0ck.com/blog/2005/07/mixin901is.html
辺りの話かと。

thythy 2006/10/20 02:39 動的コンテンツ(Webアプリ)を提供するサーバと、静的コンテンツ(特に画像とか)を分けるのは、サーバのチューニング(コンテンツの種類によって異なる)や専用アプライアンスを利用するため、大規模なサイトではよくある話かと思います。