眠る開発屋blog ある開発屋の雑感。日々勉強。

2006/10/18 水曜日

画像認証

Filed under: IT世間話 — dev0000 @ 13:42:42

ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解という記事で知ったのですが、
mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について
Firefox の動作

そこで、そのとき送られてるリクエストをよく見てみると、Cookie が送られていませんでした。
* Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.12) Gecko/20051214 Firefox/1.0.7
* Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.8) Gecko/20051111 Firefox/1.5
この2つのバージョンでこの動作を観測できたのですが、そういうものでしたっけ?ちなみに、img だけじゃなく、frame とか iframe とか input とかも試しましたが、同様の動作でした。


もしも、P3Pの問題とかじゃなければこりゃ厄介だよね、って感じです。
画像などの場合、COOKIEベースの認証は出来ないってことなのかな。

ってか、画像を参照するURLパラメータに(COOKIEのセッション識別値代わりに)ワンタイムトークンを付加すりゃいいのか。
(まぁ mixi の問題は負荷とかそういうことも絡んでいそうだけども)

あと(Apache2.2とかだけど)このへんも使えそうかも。
mod_actions
・メディアタイプやリクエストメソッドに応じて CGI スクリプトを実行する機能を提供
mod_ext_fileter
・レスポンスのボディをクライアントに送る前に外部プログラムで処理する

Powered by WordPress