ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解という記事で知ったのですが、 mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について Firefox の動作

そこで、そのとき送られてるリクエストをよく見てみると、Cookie が送られていませんでした。 * Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.12) Gecko/20051214 Firefox/1.0.7 * Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.8) Gecko/20051111 Firefox/1.5 この２つのバージョンでこの動作を観測できたのですが、そういうものでしたっけ？ちなみに、img だけじゃなく、frame とか　iframe とか input とかも試しましたが、同様の動作でした。

もしも、P3Pの問題とかじゃなければこりゃ厄介だよね、って感じです。 画像などの場合、COOKIEベースの認証は出来ないってことなのかな。

ってか、画像を参照するURLパラメータに（COOKIEのセッション識別値代わりに）ワンタイムトークンを付加すりゃいいのか。 （まぁ mixi の問題は負荷とかそういうことも絡んでいそうだけども）

あと(Apache2.2とかだけど）このへんも使えそうかも。 mod_actions ・メディアタイプやリクエストメソッドに応じて CGI スクリプトを実行する機能を提供 mod_ext_fileter ・レスポンスのボディをクライアントに送る前に外部プログラムで処理する