タイトルは釣りですJK。はしたなくてすみません。

以前書いたEye-fiを手に入れたので利用できる有料オンラインストレージサービスを比較検討してみた以降、Flickrの有料アカウントを利用してフォトライフを送っています。無意識的に何気なくパシパシ撮っていた画像がお構いなしにすべてUPされてしまうので、ひたすら便利なもののセキュリティという意味ではトレードオフかななんて思いつつ使っています。

さて、はてなフォトライフやFlickrに代表されるオンラインストレージサービスですが釣りタイトルのように、例えプライベートフォルダを作成して保存をしている画像であっても第三者に表示されてしまう、ということはご存じでしょうか(有名な話ですが)。

例をあげてみます。



id:komatakアカウントのプライベートフォルダにはハンバーガー食べてるkomatakさんがいらっしゃいました。このURLです。

ここは他の方にはアクセスできないURLになっています。当の本人でも一度ログアウトして再度上記URLにアクセスすると、私はWebブラウザ的な意味でkomatakさんではなくなっているので、プライベートなページにはアクセスできません。

GET /komatak/20090125124416 HTTP/1.1 Host: f.hatena.ne.jp HTTP/1.x 302 Found Location: /

その際のHTTPヘッダー情報です（抜粋）。Location: / 302リダイレクトではてなフォトライフのTopへと案内されました。



しかし画像「ページ」には有効なこのフィルタリングが、画像「リソース」に対してこのフィルターは有効ではありません。この写真リソース(komatakさんのハンバーガ.jpgのこと)のURLは

という形になっているようですが、このリソースには誰でもGETできちゃいます。こんな感じ↓



はてなフォトライフのヘルプを確認すると、

公開範囲を指定する 特定のはてなユーザーや、なぞなぞに回答できた相手だけに写真・動画を公開する、「公開範囲」を設定することができます。手順2の際に「新しい公開範囲」を選択してください。

とのことですが、確かに写真「ページ」にはアクセスコントロールが可能なのだけど写真「リソース」に対してのアクセスコントロールは行っていないということになりますね。

Flickrの場合 このやり方を採用しているのははてなフォトライフだけではありません。私がEye-fiで絶賛利用中のFlickrも同様だったりします。



昨日作ったカレーの写真ページです(最近話題のcookpadの中毒チキンカレー！)。このページを同様にプライベートな扱いにしています。



アカウントをログアウトにして再度アクセスしてみます。このページのURLは http://www.flickr.com/photos/komatak/3222442128/ です。



するとこちらはFlickrのログインページに案内されました。 GET /photos/komatak/3222442128/ HTTP/1.1 Host: www.flickr.com HTTP/1.x 302 Found Location: /signin/?acf=%2Fphotos%2Fkomatak%2F3222442128%2F ログアウトしたままで画像リソースURLを取得してみます。プライベートな写真なのにはてなフォトライフ同様の結果となり残念です。。

