プロフィール画像をアップロードするときにExif情報を削除してリネームするようにした

[siroemk]

• #2456

概要

現状、アップロードしたプロフィール画像にExifやGPSなどのメタ情報が残ったままになっており、撮影した端末や撮影日、位置情報などのプライバシーが漏れる可能性があります。 また、アップロードした画像のファイル名がそのまま表示されるので、 個人情報を含むファイル名をアップロードした場合、プライバシーが漏れる可能性もあります。

そのため、プロフィール画像をアップロードする時に、Exif情報を削除して、ファイル名をランダムにする対応を行いました。

今回の対応

• 画像のファイル名をランダムな文字列にする
• 画像のExifやGPSなどのメタ情報を削除する

確認手順

1. こちらの画像をダウンロードし、Exif情報が付いていることをまず確認してください🙆‍♀️ Macのプレビューで開き、[ツール > インスペクタを表示]からExifを確認できます

2. bug/resolve-security-issuesを取り入れる

3. bin/rails sでサーバーを立ち上げ、以下3つを試す

①新規登録時（課金あり）にプロフィール画像を登録

• http://localhost:3000/users/newにアクセス
• 必須項目を入力して、上に掲載している画像をプロフィール画像に登録する（クレジットカードの項目は、カード番号→4242424242424242、有効期限→将来の日付、CVC番号→3桁の番号 を入力ください）
• 登録したら、別のユーザーでログインして、ユーザー一覧からテストで登録したユーザーを開く
• テストで登録したユーザーのプロフィール画像をローカルに保存

②新規登録時（課金なし）にプロフィール画像を登録

• http://localhost:3000/users/new?role=traineeにアクセス
• 必須項目を入力して、上に掲載している画像をプロフィール画像に登録
• 登録したら、別のユーザーでログインして、ユーザー一覧からテストで登録したユーザーを開く
• テストで登録したユーザーのプロフィール画像をローカルに保存

③既存ユーザーの編集時にプロフィール画像を登録

• 適当な既存ユーザでログインし、登録情報変更画面（http://localhost:3000/current_user/edit）を開く
• 上に掲載している画像をプロフィール画像に登録
• プロフィール画像をローカルに保存

上記3つの画像をローカルに保存したら

• ファイル名がランダムな文字列になっているか確認してください
• Macのプレビューで開き、[ツール > インスペクタを表示]から、Exif情報が表示されないことを確認してください