パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる」記事へのコメント

  • by Anonymous Coward on 2019年09月13日 7時24分 (#3685252)

    そこはわれわれが13年前に通った道だ。
    ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 [srad.jp]
    mixi、画像が外部のWebサイトで表示される仕様を修正 [impress.co.jp]

    まあトロッコやベンツも定期的に蒸し返されるしそろそろ知らない人のほうが多いか

    • by Anonymous Coward

      >これにより、外部サイトから画像のURLへ遷移しても仕様変更後は表示されない、または一定時間後に表示されなくなる。

      mixiこれどうやってやったの?

      • by Anonymous Coward on 2019年09月13日 14時10分 (#3685436)

        画像配信をするサーバに mod_onetime という URL に付与された有効期限と署名をもとに配信可否判定をする Apacheモジュールを作って対応してました。

        昔はミクシィで他の人の日記に貼られている画像を直リンクで見れたりしていた。
        それを防ぐために、mod_onetime (apache/lighttpd)を使っているそうな。
        プライベートな画像を保護するためにURLにメッセージ認証コードを付与する。

        tag = HMAC ( IMAGE_URL + TIME_STAMP, SecretKey )

        有効期限が切れている場合は、リクエストを拒否する。

        セキュリティうどん 4杯目 に参加してきました! - Dlog 隔離館 [hatenadiary.jp]

        今では AWS S3 などでも見られる当たり前になった手法ですね。

        親コメント
      • by Anonymous Coward

        画像 URLを一定時間間隔で自動的に変更しているんでしょ。

      • by Anonymous Coward

        ユーザー&非公開リスト別にクッキーを作って、対象ユーザーに送り付けて、クッキー単位でリンク先のアクセス権設定
        みたいな面倒くさいのを想像してみた。
        知らんけど。

      • by Anonymous Coward

        普通にOAuthの画像ファイル用のスコープ作って、期間の短い認証トークン出してるだけでは。

Stableって古いって意味だっけ? -- Debian初級

処理中...