Re:その場合の処理って軽いの？ (#1039684) | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解

「ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解」記事へのコメント

記事ページを表示すべてのコメント取得

検索160コメント Log In/Create an Account

apacheだとすると (スコア:1)

by tarosuke (2403)

パスの一部をCGIとして動かせるはずだ。というわけで、どこかにチェック用CGIでも置けばいんじゃね？
# 対策のために鯖を増強する金が惜しいというのが本音なような気がする。
- Re:apacheだとすると (スコア:1, 興味深い)
  
  by Anonymous Coward
  
  実際、mixiの日記の画像表示は
  http://mixi.jp/show_picture.pl?img_src=http://ic**.mixi.jp/photo/diary... [mixi.jp]
  みたいに、cgiを介してるんですよねえ。
  なのに、パラメータ指定されているURLに直接アクセスできる謎仕様。
  - Re:apacheだとすると (スコア:1)
    
    by tarosuke (2403)
    
    んーと、mixi.jpの方は認証されてるからそのままでいいんだ。問題はic**.mixi.jpの方で、こっちがだだ漏れになってるんだから例えば「ic**.mixi.jp/photo」っていうCGIを置こうよって話。そういうCGIがあるとapacheだとhttp://ic**.mixi.jp/photo/diary/**/**/**.jpgをアクセスしたときにそのCGIが動いてくれる。
    # その場合QUERY_STRINGは空になってるから代わりにURLの方をパースする。
    - その場合の処理って軽いの？ (スコア:2)
      
      by shojin (28072)
      
      まあ、その手のCGIを入れた場合の処理は、単純に実装するとこうなりますが、軽いんですかね？
      
      1. クッキーよりセッションキーを取得
      2. セッションキーよりユーザーIDを取得
      3. ユーザーIDに基づき、可視性を判断
      3-1. 画像のURL (path) より表示されている場所を特定
      3-2. 表示されている場所がコミュニティの場合
      3-2-1. if (コミュニティが公開されている) 表示
      3-2-2. else if (コミュニティにユーザーIDが属している) 表示
      3-2-3. else 不表示
      3-3. 表示されている場所がユーザースペースの場合
      3-3-1. if (ユーザースペースは画像を公開する設定) 表示
      3-3-2. ユーザーIDとユーザー
      - Re:その場合の処理って軽いの？ (スコア:1)
        
        by ef (25263) on 2006年10月18日 15時32分 (#1039684)
        
        「1. クッキーよりセッションキーを取得(失敗したら非表示)」だけでも実装すれば(一番悪質な)外部からの直リンクは避けられますね。
        応急処置として、これだけ実施する機転が利くと良いのですが…
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 More ログイン

「ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解」記事へのコメント

apacheだとすると (スコア:1)

Re:apacheだとすると (スコア:1, 興味深い)

Re:apacheだとすると (スコア:1)

その場合の処理って軽いの？ (スコア:2)

Re:その場合の処理って軽いの？ (スコア:1)

スラド