Google Calendar のページには「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」 と書いてある。

何かの拍子にリファラで URL が漏れたらアウト。

せっかく高機能なウェブアプリばかりなのに、Google はこういうところが抜けている。
Google Group も https 対応しないし。
意図的?

今回この話題を取り上げたのは,「Googleカレンダー」に用意されている「非公開URL」という機能を見たからです。Googleカレンダーでは,標準ではカレンダーは「非公開」,つまり自分以外は内容を見られないように設定されます。しかし,この「非公開URL」にアクセスすると,特に認証が無くても,つまり誰でも,カレンダーの内容を閲覧できるようになっています。
(中略)
なぜこんなものが用意されているのでしょうか。

理由の一つは,他のスケジュール管理ソフトや携帯電話やPDAなどのデバイスとの同期を取りやすくするためでしょう。Googleカレンダーは iCalendarという標準フォーマットに対応しており,異なるツールからその情報を読み込んでカレンダー情報を同期させることができます。情報を取得するのにログインが必要になってしまうと,自動的にデータをダウンロードしようとするそうしたツールからデータ取得するのが難しくなってしまいます。

もう一つの理由は,知り合いにだけデータを見せたい,といった場合に便利だからでしょう。非公開URLさえ知らせれば,パスワードなどを知らせなくても見てもらうことが可能だからです。

第26回 「非公開URL」によるアクセス・コントロールについて考える:ITpro

Ref. 非公開URLとワンタイムURLは違う - まちゅダイアリー (2007-08-23)

追記: 2007-08-24

非公開URLのページには Google へのリンクぐらいしかないから、今のところリファラは大丈夫そう。(Greasemonkeyとかそういう拡張系から何かするときは注意が必要? そこまでは Google の責任の範囲じゃないな)
でも、http だから盗聴されたら URL はバレる(^_^;

# 盗聴......
# 会社内のネットワーク管理者が業務として機械的にやってるかもしれないので、やっぱり https がいいな。

Google Calendarの非公開URLは文字通り他人と共有するものじゃないどすえ~-My Little Hip By MyPROFILE では「多少リスクはあるが、それを覚悟しても使いたい人はどうぞ!という可能性を残してくれているのだ。」という意見があった。
それはそうだけど、だったら最初から用意しないで必要になってから非公開URLを生成してくれればいいのに、とか思った。

カレンダー共有

Google カレンダーの情報漏洩というと、カレンダー共有事件を思い出す。
わかっててやってる人はいいんだけど……

といってもなにかの脆弱性があるわけではなくユーザ自身による単純なヒューマンエラーで、「カレンダー共有」の設定をする際に、特定ユーザではなく「全てのユーザ」と共有する設定にしてしまっているのが原因のようです(初期設定では共有無し)。
(中略)
実際、「他のカレンダー」の検索窓にキーワードを入れるだけで「このカレンダーのすべての情報をすべてのユーザーと共有」に設定されているユーザーのスケジュールがリストアップされてしまいます。試しに幾つか打ち込んでみると、かなりプライベートな情報がぽろぽろと出てきます。あまりのヤバさに忘れろ忘れろと自己暗示をかけている最中です。

スラッシュドット ジャパン | Googleカレンダーからの情報流出にご用心
他のコメントにもありますが、日本語がわかりにくいですね。

●特定のユーザとだけ共有する
○すべての情報をすべてのユーザと共有
○空き時間情報のみをすべてのユーザと共有

Googleカレンダーからの情報流出にご用心 - souffle (31211) のコメント: 2006年10月04日 11時29分 (#1031373)

Flickrでも

ちなみに Flickr で private 設定した写真画像URLも認証なしで誰でも見れる。

private に設定した写真のページの 160458527_384ef9ad07 on Flickr - Photo Sharing! は一般には見れないけど、実際の画像ファイルの http://farm2.static.flickr.com/1164/1217998141_9d30e80417.jpg は見れる。

ウェブページじゃないからリファラ漏洩はそうそうなさそうだけど、Web ページが http なので盗聴されたら(以下略)

mixiでも

そういえば、昔のmixiでも同じ問題があったような……
mixi(ミクシィ)についてのメモ - ログインしていなくてもmixiの画像を見ることが可能

今は(たぶん)多少は改善されているっぽいけど。

# まぁ、ウェブで提供されているサービスの private はそんなにパーフェクトなものじゃないと思って使うのが良さげ。

tags: zlashdot Security Flickr GoogleCalendar Security mixi

Posted by NI-Lab. (@nilab)