アカウント名:
パスワード:
そこはわれわれが13年前に通った道だ。ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 [srad.jp]mixi、画像が外部のWebサイトで表示される仕様を修正 [impress.co.jp]
まあトロッコやベンツも定期的に蒸し返されるしそろそろ知らない人のほうが多いか
>これにより、外部サイトから画像のURLへ遷移しても仕様変更後は表示されない、または一定時間後に表示されなくなる。
mixiこれどうやってやったの?
画像配信をするサーバに mod_onetime という URL に付与された有効期限と署名をもとに配信可否判定をする Apacheモジュールを作って対応してました。
昔はミクシィで他の人の日記に貼られている画像を直リンクで見れたりしていた。それを防ぐために、mod_onetime (apache/lighttpd)を使っているそうな。プライベートな画像を保護するためにURLにメッセージ認証コードを付与する。tag = HMAC ( IMAGE_URL + TIME_STAMP, SecretKey )有効期限が切れている場合は、リクエストを拒否する。 セキュリティうどん 4杯目 に参加してきました! - Dlog 隔離館 [hatenadiary.jp]
昔はミクシィで他の人の日記に貼られている画像を直リンクで見れたりしていた。それを防ぐために、mod_onetime (apache/lighttpd)を使っているそうな。プライベートな画像を保護するためにURLにメッセージ認証コードを付与する。
tag = HMAC ( IMAGE_URL + TIME_STAMP, SecretKey )
有効期限が切れている場合は、リクエストを拒否する。
セキュリティうどん 4杯目 に参加してきました! - Dlog 隔離館 [hatenadiary.jp]
今では AWS S3 などでも見られる当たり前になった手法ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
関連リンクにないな (スコア:4, 興味深い)
そこはわれわれが13年前に通った道だ。
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 [srad.jp]
mixi、画像が外部のWebサイトで表示される仕様を修正 [impress.co.jp]
まあトロッコやベンツも定期的に蒸し返されるしそろそろ知らない人のほうが多いか
Re: (スコア:0)
>これにより、外部サイトから画像のURLへ遷移しても仕様変更後は表示されない、または一定時間後に表示されなくなる。
mixiこれどうやってやったの?
Re:関連リンクにないな (スコア:2, 参考になる)
画像配信をするサーバに mod_onetime という URL に付与された有効期限と署名をもとに配信可否判定をする Apacheモジュールを作って対応してました。
今では AWS S3 などでも見られる当たり前になった手法ですね。