先日の「空飛ぶ」のmixiアプリの件です。（前の日記を参照してください。）

　企業として「ユーザーの声は放置」「問い合わせも放置」という杜撰運営をしているところが、「もう問題ありません」と言ったとしても、今後また問題が起きそう、と思うのは穿ちすぎなのでしょうか。
　セキュリティの運用というものは、最終的に運用する人間の意識に左右される部分が大きい以上、そういった杜撰な運営では、「セキュリティを強化」と書いたところでまったく信用できないと思うのですけれどもね。

（詳細はこちらに書きました。）

　１つ前の日記の続きです。
　mixiに連絡したところ、やや時間がかかりましたが問題のアプリは除去されたそうです。

　ただ、
・アプリ開発者は開発中のアプリを自分のページに貼れる
・アプリからは外部ファイルにかなり自由にホスティングできる（ガンブラーだろうが何だろうが）
・アプリを通報するにはアプリのユーザーになるしかない為、開発途中のアプリは通報できない

　という問題点がはっきりした気がします。これ、どうなのでしょうね。

　/.Jでは外部からの画像を埋め込んだりできませんし、（ユーザー設定によりますが）リンク等は確認ページが挟まれます。いわゆる「２ｃｈ」等の掲示板でも最近はそういった仕様のものが一般的です。
　それに対して、審査がない（デベロッパー登録を自動で行うだけ）のｍｉｘｉの場合、少なくとも自分のページにアプリを貼ることは自由にできるわけで、外部からのデータをかなりの自由度でホスティングできるわけです。

　そう考えると、もう「２ｃｈの閲覧よりｍｉｘｉの閲覧のほうが危険」ということになりますね、特に知らない人のページを開くのは。ｍｉｘｉ内部のページだと思って開いたら外部コンテンツの影響を受けた、では笑い話にもなりません。

　詳細はblogに纏めて書いたことなのですが。
　ある程度の審査があるとはいえ、審査さえ通ってしまえばどんなファイルでも自由に、mixi内でアプリ使用者のページにインライン表示させることができてしまう「mixiアプリ」って、実はかなり危険な要素では、と思わざるを得ません。特に今回のようなこと（blog参照）があると。

　ログイン情報関連や、携帯電話からのアプリだと契約者IDを取得されかねない等、結構幅広い問題があるように思えますが、どうなのでしょうね。