Remember The Milk の非公開Atomフィードがダダ漏れの件
遅まきながら Remember The Milk にアカウントを作り評価していたところ、非公開のタスク*1のAtomフィードが認証なしで取得出来てしまう事がわかった。
Remember The Milk にログインし、何かタスクを登録し、リスト画面にする。
次の画像の赤丸の部分、画面右側の「Atom」のリンク先URLが問題。
URLをコピーして、ログインしていない別ブラウザにURLをペーストして開く。
思いっきり見られてしまう。
もしやIPアドレスで制限しているのかと思い、別IPのサーバ機にログインしてcurlでGETしてみたが、スルッと取得出来た。
設定画面で「非公開URLをリセットする」をクリックすると、セッションが破棄されるらしく、それまでのAtomフィードURLでのアクセスは不可となる。しかし、その上にある「プライベートアドレス」をオフにしてしまうと、無条件にAtomフィードが取得出来るようになるようなので注意が必要。
漏れるといっても、タスクの内容は取得出来ないようだが、タイトルが漏れるだけでも場合によってはクリティカルなダメージを被る事も考えられるので、無難なタイトルしか付けられないという事になる。
タスク管理をiPhoneと連携しようと思ってPro会員になったのに、とっても残念な感じ。
「プライベートアドレス」をオフにすればAtomフィードを公開しないようになってくれればいいのにと思う。
*1:能動的に「公開」としていないタスク