読者です 読者をやめる 読者になる 読者になる

ゆるめ

ゆるめなのは公開範囲です。

フォトライフの画像は割と丸見え

question:1332381053 での回答コメントに関する補足です。


補足の前に前置きから。
フォトライフの認証周りはとってもカジュアルなつくりになっているため、公開範囲を狭めに設定したフォトライフ画像でも、画像 URL (http://〜.png など) を直接開けば誰でも閲覧可能な状態になっています。
加えて、画像表示ページ (http://f.hatena.ne.jp/pacochi/20120324195100 など) から画像 URL を推測することも容易に可能です。
たとえば、http://f.hatena.ne.jp/pacochi/20120324195100 なら、http://f.hatena.ne.jp/images/fotolife/p/pacochi/20120324/20120324195100.png になります。
細かく分けて説明するとこんな感じです。

http://f.hatena.ne.jp/ images/fotolife/ p/ pacochi/ 20120324/ 20120324195100 .png   
現在フォトライフで表示される画像のドメインは cdn-ak.f.st-hatena.com ですが、f.hatena.ne.jp でも同じ画像が表示されます。   はてな ID の一文字目 はてな ID 画像 ID の先頭から八文字分 画像 ID .jpg, .png, gif のどれかです。勘で探ります。.jpg の場合、本体 (.flv) が存在する可能性もあります。


また、上記のような URL をぽちぽち打たなくても、自分のダイアリーの記事を書くページを開いて、以下のように加工した文字を貼り付けて、「確認する」ボタンを押してプレビューすれば、さっくり閲覧できます。

[f:id:pacochi:20120324195100p:image]
[f:id:pacochi:20120324195100j:image]
[f:id:pacochi:20120324195100g:image]
[f:id:pacochi:20120324195100f:movie]

四行のうちどれかが展開されて、画像もしくは動画が表示されるはずです。ちなみに [f:id:pacochi:20120324195100f:movie] が展開される場合、 [f:id:pacochi:20120324195100f:image] で画像ファイルが出てきます。 (今回の例では出てきません。)
ダイアリーを開設していなくても、フォトライフ記法が展開されるところならどこでも可能です。
そんな感じなので、フォトライフに正真正銘ひみつ画像を置くと後で恥ずかしいことになるかもしれません。


その辺の恥ずかしさはさておき、ここからが本題です。私が数日前に書いた以下のコメントについてです。

フォトライフのトップから辿れないよう非公開フォルダに回答画像を置いていて、3月26日 10:50 の少し前くらいに別フォルダに移そうと考えているので、実は忘れてちゃいけないんですけどね。

http://q.hatena.ne.jp/1332381053#ac21249

前置きの通り、非公開フォルダに入れてもフォトライフ記法や個別ページを伝えた時点で見ようと思えば見ることができる状態になるので、実のとこフォルダ移動なんて忘れてても平気だったりします。
しかし、これも前置きの通り、そのままだと閲覧の手間が微妙にかかるので (そしてその辺の仕組みを知らない人はお手上げ状態になってしまうので)、皆様の手を煩わせるつもりはないよ、という意味で「忘れてちゃいけない」と発言しました。
が、これだと「非公開フォルダに画像を置いておけば、表示ページの URL やフォトライフ記法が知られても見られちゃうことはないんだ、安心だね」という誤解を与えかねないことに気付いたので、このエントリを書きました。
若干繰り返しになりますが、フォトライフは色々と油断ならないので、公開範囲を設定したからといって安心せず慎重に使って下さい。


せっかくこの辺に触れたので、似たような事例のこともおまけで書いておきます。
はてなダイアリーで「Twitter上でのツイートまとめを定期的にブログに投稿」する設定にしているアカウントのツイートは、ID や URL が分かれば、 twitter 上で鍵付きだろうとダイアリーがプライベートモードだろうとお構いなしに見ることができます。
フォトライフの時と同じように、twitter 記法が有効なところでプレビューするだけです。

[twitter:171084712608145408:detail]

私のはてなダイアリーtwitter のアカウントもプライベートモードですが、上記のような指定であっさり発言が出てきます。

フォロワーさんからのリプライなどで ID が分かっちゃうこともあると思うので、ダイアリーと連携している鍵付きアカウントは、ちょっと控えめな公開アカウントみたいなものだと思っておいた方が良いかもしれません。


あともうちょいおまけで書きますが、hatena code petit はその辺を活用したショートカットをしても最終解答に辿り着けないようになっています。
フォトライフ + なぞなぞ認証を使った問題を出す際は、この問題のようになぞなぞ認証のフレーズを再利用するか、画像表示ページのタイトル欄も併せて見ないと分からないような画像にした方が堅実だと思います。