欠陥だー、って祭状態なんだけど、、、、
http://slashdot.jp/security/article.pl?sid=06/10/17/1958219
画像のサーバは AS、つまりネットワーク上の場所が違うんだよね。
具体的には img.mixi.jp だけ CDN(Akamai)を使っている。
Akamai の仕組みは以下。
http://www.akamai.co.jp/jp/html/technology/overview.html
それぞれのユーザに近いところにコンテンツ用のサーバを置いて、
ユーザからのアクセスをそのネットワーク内だけで閉じさせて、
大元のサーバやネットワークへの負荷を下げる、という仕組み。
たとえば NTT-PC のネットワークから img.mixi.jp に繋ぎに行くと、
NTT-PC 上のネットワーク上に置いてある Akamai のサーバに繋がる。
そういう仕組みなので、データベースを用いた高度な認証って、
かなーり難しいんだよね。
(そんなことはないですわ。追記参照)
高度な認証をかけようとすると、多分 Akamai を捨てるしかなくて、
そうすると、ものすごく回線とサーバにお金をかけないと無理。
かけても今の mixi の会員数とシステムでは対処不能かも。
素人考えでは、なんでこんなことができないんだ!、と思っても、
専門家的にはかなり難しいこともある、ということなのよね。
あー、高度な認証が使える akamai ってあれば mixi に売れるのか?
ビジネスチャンスかもよー>誰となく
(Akamai がすでに高度な認証手段を持ってました。追記参照)
追記)
もちろん akamai だって CDN なのでコンテンツの認証のための
仕組みは持っている。
でも、mixi でやりたいこと、非常に多くのユーザに対して、
データベースを見ながら、ファイル毎にパーミッション制御をする
っていうのはさすがにできない、と。
さらに追記)
画像サーバは img.mixi.jp だけじゃない、という指摘を受けた。
http://d.hatena.ne.jp/h12o/20061022/mixi
たしかに日記等の画像サーバは自前のものらしい。
img.mixi.jp を使ってるのはトップページ等で必要な画像、
ユーザの顔写真、ぐらいみたいなのね。
実際の事情については、以下の日記の推測どおりの気がするねえ。
http://d.hatena.ne.jp/h12o/20061020/mixi
さらに追記)
Akamai でも高度な認証をかけることは可能みたい --> [2006-10-24]
だとするとこのエントリ自体が嘘だよな。
ごめん!!。大嘘つきました。