« 2010年03月 | メイン

2011年10月30日

あなたがfacebookに投稿した写真はダダ漏れする

facebookの写真のセキュリティについて恐ろしいことを発見してしまいました。

facebookで写真を投稿するときに公開範囲を指定することで、写真を見せる範囲をすることができます。誰にでも見せる、友達にのみ見せる、自分だけ見れるとか。さらに特定の人たちにだけ見れるような細かい制御ができます。

が、しかし、その実態はというと、公開先のfacebookユーザのニュースフィードに自分が投稿した写真が現れるかどうかを制御しているだけであって、アクセス権を設定しているわけではないのです。

実際には、画像のURLが分かれば、誰でもその写真を見ることができてしまうのですから・・・。誰でもというのはfacebookにアカウントがない人も含めたすべてのインターネットユーザのこと。

何でも良いのでfacebook内で写真を表示してみてください。サムネイルの状態ではなくて、クリックして写真を大きく表示した状態です。そこで、Windowsだと写真上で右クリックして出てくるメニューに「写真のURLをコピー」という項目がありますから、それを選択。

そして、おもむろにfacebookをログアウトします。

さきほどコピーしたURLをブラウザのURLアドレス欄に貼り付けてアクセスしてみると、ログアウトした状態で写真にアクセスできることが分かると思います。

公開範囲を「自分のみ」と設定した写真についても試してみましたが、結果はなんと同じようにアクセス可能です。

まあ、写真本体もコピーしたりダウンロードできたりしちゃうので、自分以外の人に公開されたものは独り歩きしてしまう可能性はあります。

ただ、facebookが言っている公開範囲とはアクセス権ではないこというが皆分かっていないことが問題ですね。

以下は、ちょっと技術的な話。

コピーしたURLは、「http://a1.sphotos.ak.fbcdn.net/hphotos-ak-snc7/nnnnn__n.jpg」みたいになっているはず。

このドメインは、facebook.comではなく、fbcdn.comとなっています。名前からしてfacebookがコンテンツ配信用に立てたCDN(Contents Delivery Network)サーバーのようです。したがって、コピーしたURLは恒久的なもの(いわゆるPermalink)ではなく一時的なキャッシュと予想されますが、一定時間はこのURLで同じ写真にアクセスできるはず。

facebook的には、このCDN上のURLはfacebook.com内からしか参照されないので、Googleなどの検索エンジンがクロールする対象にはならないからいいじゃないかということなのかもしれませんが、URLは人為的に独り歩きしちゃいますので、ご注意を。

(初出:facebookのノートとして 2011年10月28日)