9
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

その非公開アカウントでアップロードした画像、漏れてませんか?

Last updated at Posted at 2022-11-03

最近の出来事

先日買った靴の写真を鍵アカのTwitterでアップロードしたんですよ

URL的にはこれになるのですが
かっこいいでしょう?

あれ?

画像見ました?
何かおかしくないです?

そう、鍵アカでアップロードした画像にもかかわらず表示されるし、なんならログインも不要で見ることが可能なんですね

ということは?

アカウントを持っていなくてもTwitterにアップロードされた画像をぶっこ抜けるということですね……
URLの可変部分は [a-zA-Z0-9\-]{15} となるでしょうか?
ざっとURL見るとそんな感じになってそうでした

30分もあれば総当たりでgetリクエスト投げるプログラム出来ちゃいそうです

ちなみに画像を削除した場合は多少のタイムラグありますが、ちゃんと画像が失効するようでした

気になるのは

Facebookも友達まで公開の画像のURLをシークレットウインドウで開くと同様に全世界に公開されてますので、どうやら世界中の人々は僕の友達らしい

mixiも友人限定の日記に載せた画像のURLをシークレットウインドウで開くと普通に表示される

ということで複数のサービスで似たようなことになっているらしい

このシークレットウインドウで開いても見れるというのがポイントで、接続先からするとIPアドレスなんかはわかるにしてもサービス利用してるユーザーは特定できないんですよね
それどころかサービスのアカウント持ってなくてもいいので

ログインすら不要で画像を見れるシステム設計ってログイン必須のシステムにおいても一般的な仕組みなんですかね?

偶然の一致で画像が引っかかる可能性ってかなり小さいと思いますが、サービスにログインもせずにプログラムで総当たりで引っかけていけるとなるとサービス側も気付きにくいんじゃないかという気がしててどうなんだろう

気をつけよう

公開制限をかけているからと言って画像をアップロードするとログインすら不要で公開されているケースがあるので気を付けましょう

9
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
9
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?