この記事は脆弱性"&'<<>\ Advent Calendar 2014 22日目の記事です。
Ustreamで自分でupした動画のダウンロードするためのスクリプトを書いてる最中に、(プライベート・完全非公開とか書いてある)非公開ビデオが誰にでもダウンロードできる事を見つけました。
通常の視聴ページは
http://www.ustream.tv/recorded/28790197
のようなURLで非公開ビデオは「この動画は一般公開されていません。」という風な事を言われて見れませんでしたが、ダウンロード用のURLの
http://tcdn.ustream.tv/video/28790197
からは未ログイン状態でもダウンロード可能できるという認証回避の脆弱性です。
後から仕様を変更するのが難しいので直らないだろうなあと予想していたのですが、報告して10ヶ月くらい経ってビデオの保存期間の仕様変更時に一緒に修正されたようです。
修正後は
http://upmv10-ntt-upmv.ustream.tv/0/1/56/56781/56781786/1_10474820_56781786.flv?e=1419861245&h=7d19cc6b5d3eb93fcc4b9573969da51f&tracking=92359d_0_1_0_0&peer=DE-CIX
みたいなURLになっておりhのトークンが一致しないとダウンロード出来なくなりました。
という訳でCDNを使う時は認証周りに注意しましょうという話でした。