mixiにアップロードした画像ファイルが認証なしで誰でも見れてしまうという問題は、1年半ほど前から問題になってたんですね。今ごろになって知った俺は遅すぎですね。以下の記事にて詳細が書かれているので、そちらを見て下さい。

• スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
• 葉っぱ日記 - mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について

で、この問題は解決されたのかというと、結局解決していません。結論としては、「mixiに参加していなくとも誰でも画像が見れてしまうので画像をアップロードする人は、注意して下さい。」と言ったヘルプを掲載しています。

Q.掲載した画像のURL をログアウトした状態でクリックしても、画像を見ることができる？
A. mixi は会員のみが見ることの出来る招待制サイトですが、mixi にアップした画像は、そのURLからmixi の外でも画像を見ることが出来てしまいます。ブロック機能実装に向け改善と検証を重ねている状況ですが、他人と共有する可能性のある画像を、100％外部から保護することはできないというのがインターネットの現状とも言えます。
ユーザーの皆さまにおかれましては、mixi にアップする画像につきましても、上記の可能性を踏まえた上で掲載していただければ幸いです。

うーん、これはまずい対応でないでしょうか。招待制サイトなのだから画像へのアクセスに対して認証をかけるべきだと思います。技術的には不可能ではないと思います。少なくとも「100％外部から保護することはできないというのがインターネットの現状」ではなく「100％外部から保護することはできないというのがmixiの現状」だと思います。

おさかなラブの方が以下のエントリーで色々と考察されています。もしCookieの問題だけであれば、大規模なのだから時間はかかるかもしれませんが、上記のヘルプのような諦めたと投げたと言わんばかりのことはして欲しくないですね。

• おさかなラボ / Blog Archive / MixiとCookieドメイン
• おさかなラボ / Blog Archive / MixiはURIの長さとユーザのプライバシーのどちらが大事なのか

あと三重大の奥村氏によると、他のSNS(例えばOpenPNEやOrkut)も同様の問題を抱えているようです。ただし、OpenPNEの開発者側では、推測不可能なURLなので、脆弱性としては考えてないようです。

• ログインしなくても見える画像---OpenPNEの場合 | Okumura's Blog

ちなみにmixiのプロフィール用画像の場合以下のようなURLでidが画像ファイルに含まれるので、結構推測しやすいんじゃないかと。mixiで自分の写真を載せている人ってどのくらいいるんでしょうかね？

• http://img.mixi.jp/photo/member/xx/xx/xxxxx_xxxxxxxxxx.jpg