最近の出来事
先日買った靴の写真を鍵アカのTwitterでアップロードしたんですよ
URL的にはこれになるのですが
かっこいいでしょう?
あれ?
画像見ました?
何かおかしくないです?
そう、鍵アカでアップロードした画像にもかかわらず表示されるし、なんならログインも不要で見ることが可能なんですね
ということは?
アカウントを持っていなくてもTwitterにアップロードされた画像をぶっこ抜けるということですね……
URLの可変部分は [a-zA-Z0-9\-]{15} となるでしょうか?
ざっとURL見るとそんな感じになってそうでした
30分もあれば総当たりでgetリクエスト投げるプログラム出来ちゃいそうです
ちなみに画像を削除した場合は多少のタイムラグありますが、ちゃんと画像が失効するようでした
気になるのは
Facebookも友達まで公開の画像のURLをシークレットウインドウで開くと同様に全世界に公開されてますので、どうやら世界中の人々は僕の友達らしい
mixiも友人限定の日記に載せた画像のURLをシークレットウインドウで開くと普通に表示される
ということで複数のサービスで似たようなことになっているらしい
このシークレットウインドウで開いても見れるというのがポイントで、接続先からするとIPアドレスなんかはわかるにしてもサービス利用してるユーザーは特定できないんですよね
それどころかサービスのアカウント持ってなくてもいいので
ログインすら不要で画像を見れるシステム設計ってログイン必須のシステムにおいても一般的な仕組みなんですかね?
偶然の一致で画像が引っかかる可能性ってかなり小さいと思いますが、サービスにログインもせずにプログラムで総当たりで引っかけていけるとなるとサービス側も気付きにくいんじゃないかという気がしててどうなんだろう
気をつけよう
公開制限をかけているからと言って画像をアップロードするとログインすら不要で公開されているケースがあるので気を付けましょう