mixi の画像は、認証に守られておらず、画像のURLさえわかっていれば、アクセスできます。これを防ぐ方法にはどんなものがあるのでしょうか? 負荷が少ない方法を知りたいです。広く情報集めたいので、環境等詳しいことは提示しないでの質問ですので、よろしくお願いします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/06/11 10:56:19
  • 終了:2007/06/14 13:23:04

回答(7件)

id:miraa No.1

miraa回答回数299ベストアンサー獲得回数72007/06/11 11:38:03

ポイント18pt

過去はそうだったようですが、現在は、ミクシィにログインしていないと、画像を見れないようになりましたよ。

試してみてください。(私もさっき試して再確認しました。)

http://q.hatena.ne.jp/1181526978

id:isogaya

コミュの画像などは対象ではないみたいです。

http://img-c1.mixi.jp/photo/comm/39/20/3920_47.jpg

2007/06/11 13:52:58
id:daichan330 No.2

ʕ •ᴥ•ʔ<だ 回答回数565ベストアンサー獲得回数1062007/06/11 14:18:37

ポイント17pt

http://internet.watch.impress.co.jp/cda/news/2006/11/09/13881.ht...

http://www.itmedia.co.jp/news/articles/0611/09/news078.html


上記の記事を見ると「閲覧制限をかけていないと」とありますが、かかってないのではないですか?また、

外部サイトから画像のURLへ遷移しても仕様変更後は表示されない、または一定時間後に表示されなくなる。

ともあります。ある時間経過後は表示されなくなるのでは?

id:isogaya

時間のようですね。

で、本題なんですが、一般的にこういった現象をふせぐのはどうするといいんでしょうか

2007/06/11 16:48:31
id:YOSIZO No.3

YOSIZO回答回数64ベストアンサー獲得回数12007/06/11 18:57:55

ポイント10pt

そのURLに対してブロックがされないという事は、単なるユーザーには手の打ちようがないのでは?

mixiのシステム側で対処する以外に解決方法はないんじゃないでしょうか?

仮に質問のようなことが可能ならば、誰でも他人のサイト内にあるファイルへのアクセスを勝手にブロックすることが可能になる、ということになりません?

http://dummy

id:isogaya

質問の仕方が悪くてすみません。

認証つき画像にするのはどうするのがいいかなということです。

2007/06/12 01:44:50
id:toteri No.4

yoccola回答回数52ベストアンサー獲得回数32007/06/11 22:01:42

ポイント55pt

http://dummy.dummy

最近作ったSNSでその処理を組み込みました。

画像を保存するサーバー上のディレクトリ名を任意のタイミングで変更すれば、アクセス出来なくなります。

例えば、暗号化したキーワードと時間を組み合わせたものをディレクトリ名とすれば時間と共に変更されます。

そうすればURLがわかっていても、常に変化するので事実上アクセスすることは出来なくなります。

id:isogaya

なるほど

2007/06/12 01:45:20
id:daichan330 No.5

ʕ •ᴥ•ʔ<だ 回答回数565ベストアンサー獲得回数1062007/06/12 09:44:03

ポイント10pt

一般的な話というのであれば、HTTPサーバ側の設定で画像をまとめて配置したディレクトリ単位でアクセス制限をかけることは可能かと思います。

※ 以下のアドレスはApacheのアクセス制限例

http://ash.jp/env/srv/htaccess.htm


もっと難易度の高いアクセス制御を実施するのであれば、認証系機構(例えばBASIC認証とか)と組み合わせることもできるかと思いますよ。

id:isogaya

ログインしている人には見せたいけど、そうでない人にはみせないというのは .htaccess で簡単にできるのでしょうか

2007/06/12 10:29:26
id:peppon No.6

peppon回答回数73ベストアンサー獲得回数02007/06/14 01:18:57

ポイント5pt

http://q.hatena.ne.jp/answer

.htaccess等で画像ディレクトリごと拒否しておいて

ログインしたらログインしてきたIPアドレスのみを許可する.htaccessを生成。 ログアウトしたら元の.htaccessを生成するってのはどうですか。

id:isogaya

実際にやっているところあるんでしょうか?

2007/06/14 01:24:47
id:peppon No.7

peppon回答回数73ベストアンサー獲得回数02007/06/14 13:15:20

ポイント5pt

http://q.hatena.ne.jp/answer

ども

上の回答だと他のログインユーザはみれませんね。 ごめんなさい。

<img src="hoge.gif?sid=hogehoge">

みたいに画像にセッションIDつけて

画像配信用サーバのアプリケーションでセッションIDついてないと配信しないようにしてみては。

id:isogaya

実際にどんな手法が一般的かを知りたいのです。試してみる前の情報収集だったのです。

2007/06/14 13:20:32
  • id:daichan330
    質問の意図が飲み込めなかったので教えて下さい。

    >>
    mixiの画像は、認証に守られておらず、画像のURLさえわかっていれば、アクセスできます。これを防ぐ方法にはどんなものがあるのでしょうか?
    <<
    とあるのですが、これはmixi側で管理しているものではないですか?となるとユーザ側でアクセスできないようにするというのは無理な話ではないでしょうか。それとも管理者側の話でしょうか?
  • id:Kotobuki_F
    http://www.itmedia.co.jp/news/articles/0611/09/news078.html

    あのバグってまだ修正されてないんだっけ?
    上記記事とは別の脆弱性?
  • id:isogaya
    2つ試してみました。リファラーないと見れないタイプ(簡単に偽造はできます。)ログインしてセッション情報をチェックしてというものです。
    どちらも、思ったよりもパフォーマンスは悪くなく画像あたり、20から30ミリセカンド程度のペナルティでした。
    セッション情報チェックでもいけるのは結構便利です。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません