*1  ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解

mixi の画像が外から全て見えてしまうのはサービスポリシー的に不具合だろうとは思っていたが、IPAに脆弱性扱いされた上に「修正できません」と白旗をあげてしまったようだ。折角上場して資金も集めたんだから、せめて今後は頑張って頂きたいところ。
それはともあれ mixi の画像管理の仕組みに付いて、コメントしたのに併せて少しだけ調べてみた。現状の仕組みは結構シンプルのようだ。

去年 9月の資料 mixi 開発物語 にある構成がそのままだとすると、画像は全て mixi.jp の html 本体に使われている mod_proxy のプロキシサーバを経ずに直接配信されているらしい。過去に「Squid で DNS ラウンドロビンしている」と書かれている img.mixi.jp の部分は、現在は Webコンテンツの大規模分散配信サービス Akamai を使って配信されている。
img.mixi.jp CNAME img.mixi.jp.edgesuite.net
img.mixi.jp.edgesuite.net CNAME a899.g.akamai.net
img.mixi.jp は mixi の共通画像(UIのボタンや背景)やプロフィール写真、コミュニティ画像などの「表示頻度が高くて変更頻度が低いもの」に使われている。仕組や負荷的に、この部分を認証制御可能にするのはかなり難しいだろう。

一方で日記など、登録数は多いが登録後数日でアクセスが殆んど無くなるような画像は img*.mixi.jp や ic*.mixi.jp などの mixi が持っているサーバに割り当てられているため、制御出来る可能性がある。同資料によればこれは「イメージクラスタ」と呼ばれるもので、以下のような設計思想らしい。
  • ストレージと配信を同じサーバで実施
  • アップロードされた画像は複数のホストに分散配置
  • 画像の場所は MySQL で管理
  • 古い(参照がほぼ無い)写真は古い写真専用クラスタに移動
表示系としては、単に「頑張って画像をひたすらHTTP(S)で吐くウェブサーバ」以上のものでは無い。そんなわけで画像サーバが認証系の外にあるのは設計当初からの「仕様」なのだろう。

これをなんとかするならば、以前試みたように Cookie の範囲を .mixi.jp にした上で画像処理サーバ側でも認証状態の確認をするようにするか、前段の mixi.jp プロキシで認証状態を確認した上で画像サーバのコンテンツを返す形が思い付く。前者は以前に Cookie の仕様的に不具合が出るブラウザ (携帯電話の NetFront や w3m など) で失敗しているので、やるとしたら後者だろうか。後者も画像参照系の構造はかなり変える必要があるだろうし、画像配信をプロキシ越しにする負荷も高そうではある。

ちなみに以下のあたりが mixi が使っている IPアドレス。てきとうに whois しただけなので、もっとあるかもしれない。画像サーバをそのまま表に出している都合上、結構な数がある。
59.106.61.64 - 59.106.61.127
59.106.41.64 - 59.106.41.127
59.106.80.64 - 59.106.80.127
個人的には「インターネットに出したら SNS だろうが漏洩のリスクがあるのは一緒でしょ(意訳)」と言う mixi の主張は最もだと思うのだが、それって自分のサービスを否定している気もするので、まぁなんとかするように頑張るといいのではなかろか(他人事)。

( Permalink | Comments (0) | tags: mixi  webserver  )
『World Wide Walker: mixi の画像はどう配信されているのか』 <http://yoosee.net/d/archives/2006/10/19/002.html> 数多くの記事で mixi の画像が認証制御できていない件について言及されているが、個人的にはこの記事がわかりやすいと思った。 一方で日記な...
Comments

Please write your comment. email address won't appear. Cannot use any HTML tags in comment.
コメントをお書き下さい。メールアドレスは公開されません。 またHTMLタグは利用できません。
Name   E-mail   URL
Comment

About W.W.Walker

World Wide Walker は yoosee による blog です。PDA, Web・サーバ技術, 美味しい食べ物などの話題を取り上げています... read more

このエントリーのブックマーク

Monthly Archives

Select Month to read