パスワードを忘れた? アカウント作成
199154 journal

Yoshino Inamoriの日記: mixiアプリの件、改善されるべきは?

日記 by Yoshino Inamori

 先日の「空飛ぶ」のmixiアプリの件です。(前の日記を参照してください。)

 企業として「ユーザーの声は放置」「問い合わせも放置」という杜撰運営をしているところが、「もう問題ありません」と言ったとしても、今後また問題が起きそう、と思うのは穿ちすぎなのでしょうか。
 セキュリティの運用というものは、最終的に運用する人間の意識に左右される部分が大きい以上、そういった杜撰な運営では、「セキュリティを強化」と書いたところでまったく信用できないと思うのですけれどもね。

(詳細はこちらに書きました。

196319 journal

Yoshino Inamoriの日記: mixiアプリの件、その後の顛末

日記 by Yoshino Inamori

 1つ前の日記の続きです。
 mixiに連絡したところ、やや時間がかかりましたが問題のアプリは除去されたそうです。

 ただ、
・アプリ開発者は開発中のアプリを自分のページに貼れる
・アプリからは外部ファイルにかなり自由にホスティングできる(ガンブラーだろうが何だろうが)
・アプリを通報するにはアプリのユーザーになるしかない為、開発途中のアプリは通報できない

 という問題点がはっきりした気がします。これ、どうなのでしょうね。

 /.Jでは外部からの画像を埋め込んだりできませんし、(ユーザー設定によりますが)リンク等は確認ページが挟まれます。いわゆる「2ch」等の掲示板でも最近はそういった仕様のものが一般的です。
 それに対して、審査がない(デベロッパー登録を自動で行うだけ)のmixiの場合、少なくとも自分のページにアプリを貼ることは自由にできるわけで、外部からのデータをかなりの自由度でホスティングできるわけです。

 そう考えると、もう「2chの閲覧よりmixiの閲覧のほうが危険」ということになりますね、特に知らない人のページを開くのは。mixi内部のページだと思って開いたら外部コンテンツの影響を受けた、では笑い話にもなりません。

195618 journal

Yoshino Inamoriの日記: 『mixiアプリ』という脆弱性

日記 by Yoshino Inamori

 詳細はblogに纏めて書いたことなのですが。
 ある程度の審査があるとはいえ、審査さえ通ってしまえばどんなファイルでも自由に、mixi内でアプリ使用者のページにインライン表示させることができてしまう「mixiアプリ」って、実はかなり危険な要素では、と思わざるを得ません。特に今回のようなこと(blog参照)があると。

 ログイン情報関連や、携帯電話からのアプリだと契約者IDを取得されかねない等、結構幅広い問題があるように思えますが、どうなのでしょうね。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...