のほほんのおと

IT系、音楽、映画、旅行などなど。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【RICOH THETA】 THETAのサイトにUPした画像データのセキュリティについて調べてみた

360度撮影可能な全天球型デジカメ「RICOH THETA」についての話しっす。
THETAのサイトにUPした画像は誰が見れるの?という疑問について調査してみたよ。

【 経緯 】

THETAを買い、RICOHの公式サイトにもデータをUPして表示させ、人に見せてウケて喜んでいた時のことだ。
ふと気になった。
このサイトにUPしたデータって誰が見れるんだろう?
ログインしているオレだけと考えていい?それともどっかからか丸見えになる?

それに、FacebookやTwitterでシェアする機能もあるけど、それは?
Facebookの投稿自体はFacebookの公開範囲になるだろう。
でも、Facebookの投稿はあくまでRICOHのサイトにUPしたものを参照しているに過ぎない。
その場合、何がどうなる?

そう考えてみたら、「URLがバレたら誰からも丸見えになりそうな?」という気になってきたのだ。

バレて見られて困るようなものはまだUPしてない。
でも、今後、色々な人一緒に居るときに撮ったのをUPし、みんなで共有してぜひ盛り上がりたいところだ。
その際にやっぱり気になるのは「個人情報」といったところだろう。
オレはあまり気にしないけど、人によっては気にするだろうし。
その際に自信を持って「大丈夫っす」と説明できないと困るなぁと。

と言うことでちょっと調べてみることにした。


【 問い合わせ 】

リコーイメージング株式会社さんに問い合わせをしてみた。
回答は大筋では予想通りだったけど、ちょっとびっくりがっかりな話しもあったよ。

もらったメールを丸っと載せるのは避けてオレの言葉で整理すると以下みたいな感じです。

1. 公開範囲制御の機能は無い。URLが分かれば丸見え。
URLの形式は「https://theta360.com/x/yyy」。

ま、GoogleのPicasaのWebアルバムみたいなもんですな。
ここまでは予想の範囲内。

2. ユーザIDが分かると誰でも一覧が見える。
URLの形式は「https://theta360.com/users/ユーザーID」。
一覧が見えれば1のURLも分かるので、丸ごと見える。
ただし、一覧を出すかどうかの制限をすることはできる。

この辺から「ん?」という感じになってきましたな。

3. Facebookへの投稿はFacebookでの公開範囲での制御となる。
ただし、その投稿から分かるURLが漏れれば誰からでも丸見え。

ま、これも予想通りかな。

気になったのは1にあるURLの単純そうなフォーマット。
あと、「IDが分かったらデフォルトの設定ではほぼアウト」ということ。


【 調査、実験 】

ということで心配するほどのことか、気にするほどのことじゃないのかもー少し調べてみることにしたっす。

オレのIDを仮に「XXXX」として以下にアクセスしてみた。
「https://theta360.com/users/XXXX」
うむ。見える。
THETAサイトをログアウトした状態で同じようにやってみた。
つまり、オレじゃない人がアクセスするとどうなるか、だ。
うむ・・・丸見えだ・・・なるほど。

ではユーザIDのところを適当に入れたらどうなる?という実験。
とりあえず1桁から試した。
いきなりヒットした・・・見知らぬ方の結構プライベートっぽい画像がまるっと出てきた・・・
結婚式だか披露宴だかで盛り上がっている風のだ。
うーん、考え物だ・・・

その他適当に桁を変えてそれこそ適当なIDを入れたが、結構簡単に出てくる。
どうやら1から単純に連番でIDを発行している様子・・・
ちなみにオレのIDの±1のも試したが・・・だったよ。

次に気になるのが画像本体のURLが結構単純なフォーマットに見えることだ。
https://theta360.com/x/yyy
Picasa並に複雑なURLだったら「ま、いっか」となったのだが・・・

自分のも含めて見えてしまった人達のところからたどり、URLをチェックしてみた。
たまたまかもしれないけど「x」のところは全員「s」だった。
で、「yyy」のところは英字の大文字小文字と数字だった。

3桁の英字の大文字小文字と数字の組み合わせって何通りあるんだろう?
数学をきちんと勉強しておけば良かったとたまに思うっす。
でも、大したことないはずだなぁ・・・

それにそもそもユーザIDでリストが丸っと見えたらその時点でアウトなんだしぃ~。
ユーザIDは単に1からの連番みたいだしぃ~。

ちなみに「ユーザ本人以外にはリストが出ないようにする設定」も試した。
  1.  ログインする。
  2.  プロフィール画面の「メニュー(歯車のアイコン)」->「ユーザー設定」へ
  3.  「投稿された全天球イメージの一覧表示」で、「一覧表示OFF」を選択する。
この状態でログオフしてからオレのIDのURLでアクセス。
「https://theta360.com/users/XXXX」
すると一覧が出ていたところには「投稿された全天球イメージの一覧表示はOFFになっています。」と出ていた。
なるほど。一筋の光明ですかな。
でもやっぱりオレのユーザ名は丸出しだったけどな。

ということで、あまり期待とは違う結果が出てしまった。
正直悩ましい・・・


【 検討、結論 】

色々と調べてみたが、どうなんだろう?
自分も含めて色々な人が写ったのをUPしても大丈夫か?
ハズカシイ画像とかはどうだ?

オレ個人のとりあえずの結論は以下としてみたっす。
1. 自分以外からのアクセス時のリスト表示はOFFる。
これは超マストな大前提ですな。

2. 他人に見られたらシャレにならないのは絶対にUPしない。
検証から分かるようにその気になれば結構簡単に見られてしまうので。

3. 人の顔などが写っているものの時はその人の許可を取る。
ごく無難なもののつもりでも嫌がる人は居るかもしれないので。

要するに「このサイトにはセキュリティは無い」という結論だ。
ま、セキュリティが高いとうたっているのに、実はゆるゆるだった、というわけではない。
もともとこういう設計だったのだろう。
だから文句を言っているわけではないし、RICOHをディスっているわけではないのでそこんとこヨロシクです。

とは言え、問い合わせないと分からんかった、というのはいかがなものかとは思ったな。
マニュアルとかもきちんと読んだつもりなので、多分簡単にアクセスできる公式情報には無いはずなのだ。

こんなところですかな。

スポンサーサイト

FC2Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。