遅まきながら Remember The Milk にアカウントを作り評価していたところ、非公開のタスク*1のAtomフィードが認証なしで取得出来てしまう事がわかった。

Remember The Milk にログインし、何かタスクを登録し、リスト画面にする。
次の画像の赤丸の部分、画面右側の「Atom」のリンク先URLが問題。

URLをコピーして、ログインしていない別ブラウザにURLをペーストして開く。

思いっきり見られてしまう。

もしやIPアドレスで制限しているのかと思い、別IPのサーバ機にログインしてcurlでGETしてみたが、スルッと取得出来た。

設定画面で「非公開URLをリセットする」をクリックすると、セッションが破棄されるらしく、それまでのAtomフィードURLでのアクセスは不可となる。しかし、その上にある「プライベートアドレス」をオフにしてしまうと、無条件にAtomフィードが取得出来るようになるようなので注意が必要。

漏れるといっても、タスクの内容は取得出来ないようだが、タイトルが漏れるだけでも場合によってはクリティカルなダメージを被る事も考えられるので、無難なタイトルしか付けられないという事になる。

タスク管理をiPhoneと連携しようと思ってPro会員になったのに、とっても残念な感じ。
「プライベートアドレス」をオフにすればAtomフィードを公開しないようになってくれればいいのにと思う。