アカウント名:
パスワード:
そこはわれわれが13年前に通った道だ。ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 [srad.jp]mixi、画像が外部のWebサイトで表示される仕様を修正 [impress.co.jp]
まあトロッコやベンツも定期的に蒸し返されるしそろそろ知らない人のほうが多いか
>これにより、外部サイトから画像のURLへ遷移しても仕様変更後は表示されない、または一定時間後に表示されなくなる。
mixiこれどうやってやったの?
画像配信をするサーバに mod_onetime という URL に付与された有効期限と署名をもとに配信可否判定をする Apacheモジュールを作って対応してました。
昔はミクシィで他の人の日記に貼られている画像を直リンクで見れたりしていた。それを防ぐために、mod_onetime (apache/lighttpd)を使っているそうな。プライベートな画像を保護するためにURLにメッセージ認証コードを付与する。tag = HMAC ( IMAGE_URL + TIME_STAMP, SecretKey )有効期限が切れている場合は、リクエストを拒否する。 セキュリティうどん 4杯目 に参加してきました! - Dlog 隔離館 [hatenadiary.jp]
昔はミクシィで他の人の日記に貼られている画像を直リンクで見れたりしていた。それを防ぐために、mod_onetime (apache/lighttpd)を使っているそうな。プライベートな画像を保護するためにURLにメッセージ認証コードを付与する。
tag = HMAC ( IMAGE_URL + TIME_STAMP, SecretKey )
有効期限が切れている場合は、リクエストを拒否する。
セキュリティうどん 4杯目 に参加してきました! - Dlog 隔離館 [hatenadiary.jp]
今では AWS S3 などでも見られる当たり前になった手法ですね。
画像 URLを一定時間間隔で自動的に変更しているんでしょ。
ユーザー&非公開リスト別にクッキーを作って、対象ユーザーに送り付けて、クッキー単位でリンク先のアクセス権設定みたいな面倒くさいのを想像してみた。知らんけど。
普通にOAuthの画像ファイル用のスコープ作って、期間の短い認証トークン出してるだけでは。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
関連リンクにないな (スコア:4, 興味深い)
そこはわれわれが13年前に通った道だ。
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 [srad.jp]
mixi、画像が外部のWebサイトで表示される仕様を修正 [impress.co.jp]
まあトロッコやベンツも定期的に蒸し返されるしそろそろ知らない人のほうが多いか
Re: (スコア:0)
>これにより、外部サイトから画像のURLへ遷移しても仕様変更後は表示されない、または一定時間後に表示されなくなる。
mixiこれどうやってやったの?
Re:関連リンクにないな (スコア:2, 参考になる)
画像配信をするサーバに mod_onetime という URL に付与された有効期限と署名をもとに配信可否判定をする Apacheモジュールを作って対応してました。
今では AWS S3 などでも見られる当たり前になった手法ですね。
Re: (スコア:0)
画像 URLを一定時間間隔で自動的に変更しているんでしょ。
Re: (スコア:0)
ユーザー&非公開リスト別にクッキーを作って、対象ユーザーに送り付けて、クッキー単位でリンク先のアクセス権設定
みたいな面倒くさいのを想像してみた。
知らんけど。
Re: (スコア:0)
普通にOAuthの画像ファイル用のスコープ作って、期間の短い認証トークン出してるだけでは。