サーバ障害の影響でmixiのソースの一部が流出 41
ストーリー by mhatta
ちょっと見てみたかったけど 部門より
ちょっと見てみたかったけど 部門より
Teruching曰く、"Googleの検索結果のみのリンクで心もとないのですが、今月の9日から発生したサーバ障害の影響でmixiのソースの一部が流出したそうです。
詳しいことは、mixi自身やニュースサイトでの発表が無いのでわかりませんが、流出したことは事実のようでコードの一部や流出したソースのファイル名などが2chやブログに乗っています。
Google "mixi ソース 流出"
オープンソースにして (スコア:3, おもしろおかしい)
※現実にはその直後に各種変更を加えられて会員大混乱。会員への告知能力は欠如。社名にまでしたサービス名はいまだにβという現実。
Re:オープンソースにして (スコア:4, おもしろおかしい)
Re:オープンソースにして (スコア:3, すばらしい洞察)
憶測ですが、βがとれて正式版になった暁には、
完全有料サービスに移行しますよ~、てな事業計画を、
上の人なり出資者なりに説明してた、
なんて話じゃじゃないんでしょうか?
Re:オープンソースにして (スコア:4, すばらしい洞察)
憶測ですが、mixiがこの先生きのこる鍵はWeb2.0。
すなわち、永久にベータ版 [cnet.com]。てなビジネスモデルを、
上の人なり出資者なりに説明してた、なんて話に間違ないでしょう。
Re:オープンソースにして (スコア:5, おもしろおかしい)
突発的にきのこる先生が出てくると脳みそが勝手に「きのこる先生だ!」と解釈してしまうんです。本当に抗う術が無い。
Re:オープンソースにして (スコア:3, おもしろおかしい)
すばらしい。オープンコードレビューですね。
この際なので、コードを見たユーザとペアでプログラミングしてしまっても
よいかもしれません。
Re:オープンソースにして (スコア:1)
簡単に閲覧可能でした。多分に揉まれた事でしょう。
#ワタシはソース読んでも分からないので保存していません(^^;
Re:オープンソースにして (スコア:0)
あれって「完成させず新機能を載せ続けよう」という意思表示で「β」だという記事をどっかで読みましたが、どこだったかな。
#思い出せないのでAC
Re:オープンソースにして (スコア:2, 興味深い)
変更(開発)を5年間続けていくという表明」ということを言ってます [com.com]ね。
私はβ版表示がない「正式版」という字面に安心する人間なので、
現状の機能に自信を持てるならβ表示は取って欲しいです……。
#「藤岡弘、」もΒ版
Re:オープンソースにして (スコア:3, おもしろおかしい)
今後も新しい技術を取り込んでいくことの表明として。
Re:オープンソースにして (スコア:0)
Re:オープンソースにして (スコア:0)
Re:オープンソースにして (スコア:0)
もはやα、βなどという概念が意味をなさない気もしますが?
#「本田美奈子.」はファイナル・・・
新聞全面広告 (スコア:2, おもしろおかしい)
答えは、もちろんノー
ベータmixiの会員になると損するの?
答えは、もちろんノー
ベータmixiはこれからどうなるの?
もちろん発展し続けます。
ますます面白くなる!ベータmixi
これからもベータ品質。mixiはSNS。
+1 (スコア:0)
お見事。
Re:オープンソースにして (スコア:0)
mixi自身の発表? (スコア:3, 参考になる)
いやいや、http://mixi.jp/release_info.pl [mixi.jp](ログインしていない状況では見れないかと思いますが)の2月9日の「2月9日(木) アクセス障害のお詫び」に書かれていますよ。
と。
流出とはまた話が違うような。
Re:mixi自身の発表? (スコア:4, 参考になる)
なんというか……
2/9の17:30頃、他人の日記から自分のトップページに戻った
途端にソースコードがどかんと。そのソースコードは保存しようと
すれば出来たんでしょうけど、俺はスルーしました(というより
呆れてた)。
1~2分位してリロードしたら通常表示に戻ったんで苦笑しつつ
日記を書こうとしたら今度は『メンテ中』のページに。その
ページも日付が当日付けじゃないというおまけつきで、10分くらい
(おぼろげ)したら直りましたけど。
後で、このことを日記に書いたら友達から2chのスレを
紹介されました。みんなソースをがんがんアップしていて、みんな
どうしたらあの短時間でそんなにソースを取得できるんだ、とか
思わないでもなかった(笑)
該当スレの出だしはこれ。
http://pc8.2ch.net/test/read.cgi/sns/1139474300/
-----
スケーター12号〜(┌ ┌ ┌ ´Д`)┘
Re:mixi自身の発表? (スコア:0)
#ソースを流したmixiの不手際とは話が別だからね。
まあ、さすがに、ソースの名前やロジックを変えているだろうけど。
Re:mixi自身の発表? (スコア:4, 興味深い)
あれが元で悪用どうこう出来る部分は皆無といって支障無かった。
本当に読まれたら拙い部分はhttpdから直接は読めなくされています。
「何かどじった時に表面は見せるけど機密部分は見せない」と言うように危機管理を考えた設計が一貫してされているので感心しました
…巷の噂ではやれぐだぐだだバグだらけだボロカス言われていましたので…
Re:mixi自身の発表? (スコア:2, すばらしい洞察)
「○○を利用して罪を犯したのですが、罪に問われますか?」と聞いているようなものでは。。。
Re:mixi自身の発表? (スコア:1, すばらしい洞察)
Re:mixi自身の発表? (スコア:0)
被害を受けた(かもしれない)のは利用登録者だけだから、という理屈かな。
これから利用しようとする人達が、登録の前にサービスのセキュリティを判断する材料にもなるって思わないのかな。
インスパイヤ the next (スコア:3, おもしろおかしい)
ヒースキット山口 heath yamaguchi
Re:インスパイヤ from SCO (スコア:1, 興味深い)
もしも、ライバルのサービスがmixiの人気を上回った時には、
「デザインではなく、当社の社外秘コード盗用があった」
といって訴訟に持ち込むための伏線です。
ライブドアも、たやすく充実させるわけにはいかなくなった。
見事な牽制球ですね(笑)
Re:インスパイヤ from SCO (スコア:0)
ありえない心配無用(笑
携帯用アドレスが漏れた? (スコア:3, 参考になる)
>本日2月9日(木)17:30に発生した不具合に関する調査の結果、携帯電話に
>よる日記およびプロフィール写真の更新に使用するメールアドレスを変更
>すべきと判断し、同日23:00に実施いたしました。この措置はセキュリティ
>的に万全を期す為であり、ユーザーの皆様のメールアドレス等個人情報が
>流出した為ではございません。
良く意味がわからなかったのですが、これは
mixi ID → 携帯用アドレス
の変換アルゴリズムが漏れてしまったため、念のために変更を
呼びかけていると解釈すれば良いのかな?
ちなみに、流出後2chに流れたソースはすかさず保存しましたが、この
部分のアルゴリズムは入っていませんでした。
Re:携帯用アドレスが漏れた? (スコア:0)
home.pl
list_diary.pl
list_message.pl
view_bbs.pl
の4ファイルです。
個人で他のファイルを保存している人もいるかもしれませんが。
#拾った4ファイル持ってるのでAC
Re:携帯用アドレスが漏れた? (スコア:1, 参考になる)
add_diary.pl, check.pl, home.pl, list_diary.pl, list_message.pl,
search_review.pl, show_friend.pl, show_log.pl, view_bbs.pl
この九つがありました。
Re:携帯用アドレスが漏れた? (スコア:1, 参考になる)
このネタ (スコア:2, 興味深い)
ついに掲載ですか。もう旬は過ぎたかなとは思うけど、それはそれとして。
Mixiでそれっぽいキーワード書いた釣り日記書いておいたら
今まで見たことがない、マイミクでない人の名前がぼろぼろと
足あとに残ってて面白かったですね。
(普段のマイミク以外のアクセスはアクセス全体の1割弱→事件後5~6割)
#釣り日記は、ソースコードを全部載せるのは法的に問題がある
#可能性もあるので、先頭部分の、Perlでは一般的な記述の数行だけ
#載せるって感じで。
Re:このネタ (スコア:1)
#!/usr/bin/perl
use CGI;
これで3行。
Re:このネタ (スコア:1)
#!/usr/bin/perl
use strict;
use URI::Escape;
use LWP::UserAgent;
use Jcode;
ここまではまぁ割と一般的。ですよね。
アクセス権の設定ミスだろうけど (スコア:1, 興味深い)
ID/PW入れた後だからメンバーでないと遭遇してないみたいだけど
今度はヒューマンエラーでデータ不整合おこしたらしく詫びが出てましたね
Re:アクセス権の設定ミスだろうけど (スコア:4, 参考になる)
全て言語はperlでしたね。
ざっくりと読ませてもらった感じでは本当にセキュリティに関わる部分は出ていないようです。
SQL文一個すら無かった。DBアクセスは抽象化されている。
…クリティカルなコードはhoge.pmなどの格好でhttpdからは直接は読み出せない所に置いてある臭いです。
Re:アクセス権の設定ミスだろうけど (スコア:0)
コードは基本的にごった煮だし、クリティカルなのはまとめてると言うよりは、単に前処理/後処理はまとめた結果なだけじゃない?
表示だしねぇ (スコア:1, 参考になる)
昔、gooのaspのコードが採り放題だったときも結局フロント部分だけなのであんまり嬉しくなかったっけ。。
避けて通るべき? (スコア:0)