グラバター
グラバター
サイトの種類
アバターホスティング
所有者オートマティック
作成者トム・プレストン=ワーナー
URLgravatar.com
コマーシャルはい
登録オプション

Gravatar世界的に認知されているアバター組み合わせた造語)は、世界で唯一無二のアバターを提供するサービスで、トム・プレストン=ワーナーによって開発されました。2007年以降、 Automatticが所有し、同社のWordPress.comブログプラットフォーム に統合されています。

機能性

Gravatarでは、ユーザーはメールアドレスでアカウントを登録し、そのメールアドレスに関連付ける好きな画像をアップロードすることができます。Gravatarプラグインは人気のブログソフトで利用できます。ユーザーがメールアドレスを必要とするブログにコメントを投稿すると、ブログソフトはそのメールアドレスにGravatarの関連アバターがあるかどうかを確認します。アバターがある場合は、コメントと一緒にGravatarが表示されます。Gravatarのサポートは、WordPressではバージョン2.5以降[ 1 ]、Webベースのプロジェクト管理アプリケーションRedmineではバージョン0.8以降でネイティブに提供されています。[ 2 ] Gravatarのサポートは、 DrupalMODXなどのWebコンテンツ管理システム用のサードパーティ製モジュール経由でも提供されています。[ 3 ] [ 4 ]

ユーザーのプロフィールデータは、 hCardJSONXMLPHPvCardなどの様々なメタデータ標準やQRコードで利用できます。生データ形式(JSON、XML、PHP)はPortable Contacts標準を使用しています。[ 5 ]

Gravatar画像の最大幅は2048ピクセルで、常に正方形で、デフォルトでは80×80ピクセルで表示されます。[ 6 ]アップロードされたアバターがこれより大きいか小さい場合、アバターは適切に拡大縮小されます。各GravatarにはMPAAスタイルの年齢推奨レーティングが付けられており、ウェブマスターはウェブサイトに表示されるGravatarのコンテンツを管理できます。

ウェブマスターは、ユーザーが Gravatar を登録していない場合に アイデンティコンを自動的に表示するようにシステムを設定することもできます。

歴史

Gravatarサービスはしばらくの間、メンテナンスが行われていませんでした。Gravatarの人気が高まり、より多くの帯域幅が必要になったため、開発者はサービスの新バージョンの開発に忙しくなりました。2007年2月16日、[ 7 ] 「Gravatar 2.0」がリリースされました。サーバースクリプトの改良に加え、ウェブ上に既にホストされている画像を切り取って使用できるなど、他の改善点もユーザーには認識されました。アカ​​ウントごとに2つのGravatarをサポートし、ユーザーは簡単に切り替えられるようになりました。また、「Gravatar Premium」もリリースされ、アカウントごとに無制限のメールアドレスとGravatarを使用できるようになりました。

2007年6月11日、トム・プレストン=ワーナーは、Gravatar 2.0のリリース以来32,000人の新規ユーザーが登録したと発表した。[ 8 ]

2007年10月18日、AutomatticはGravatarを買収した。[ 9 ]買収後、同社はこれまで有料だったサービスをすべて無料で提供し、サーバーの応答時間を改善し、最近サービス料金を支払ったユーザーには払い戻しを行った。[ 10 ]

マット・マレンウェッグは2010年12月2日のビッグウェブショーで、グラバターが1日あたり約200億枚の画像を提供していると発表した。[ 11 ]

セキュリティ上の懸念とデータ侵害

Gravatarは[ 12 ] 、関連付けられたメールアドレスのMD5ハッシュを含むURLを使用してGravatarウェブサーバーから読み込まれていました。しかし、この方法は辞書攻撃レインボーテーブル攻撃に対して脆弱であることが示されています[ 13 ]。最近、GravatarはSHA256アルゴリズム[ 14 ]に移行しました。これは一般的に暗号的に安全であると考えられています[ 15 ]。

2009年にGravitarがMD5ハッシュを使用していたとき、フォーラムのユーザー名と組み合わせたGravatarのURLから、フォーラムユーザーのメールアドレスの10%以上を特定できることが実証されました。[ 13 ]

その後、2013年にセキュリティ研究者のドミニク・ボンガードは、GravatarのURLとオープンソースのHashcatパスワードクラッキングツールを使用することで、有名なフランスの政治フォーラムにコメントを投稿するために使用されたメールアドレスの45%を特定できたと発表しました。[ 16 ]

Hashcatはハッシュ解読に高い効率性を実現するためにグラフィックス処理装置を使用しているため、GPU技術と性能が向上し続けると、結果としてGravatarハッシュの解読は時間とともに容易になるだろうと示唆されている。[ 17 ]これは、 MD5ハッシュアルゴリズム自体が深刻な脆弱性を抱えており、暗号化アプリケーションには適さないという事実に加えて、 CMUソフトウェア工学研究所は2008年末から、いかなる用途でもMD5ハッシュアルゴリズムを使用しないよう推奨している。 [ 18 ]

2020年10月、セキュリティ研究者のカルロ・ディ・ダト氏が、グラバターから大量のデータをスクレイピングする手法を公開した。同氏はグラバターに懸念を表明したが無視された。その後、ユーザーのアバターを参照するために使用される1億6,700万件の名前、ユーザー名、および電子メールアドレスのMD5ハッシュがスクレイピングされ、ハッキングコミュニティ内で配布された。1億1,400万件のMD5ハッシュが解読され、ソースハッシュとともに配布されたため、元の電子メールアドレスと付随するデータが公開され、電子メールアカウント所有者はHave I Been Pwned?を使用して自分のアドレスが漏洩していないか確認できるようになった。[ 19 ] [ 20 ]

参考文献

  1. ^ 「Wordpress Codex — Gravatarsの使用」 . Codex.wordpress.org . 2009年12月10日閲覧。
  2. ^ 「Redmine v0.8.0 RC1 変更ログ」 . Redmine.org . 2014年1月6日閲覧。
  3. ^ 「Drupal Gravatar 統合」 . Drupal.org. 2007年11月24日. 2009年12月10日閲覧
  4. ^ 「MODx Gravatar拡張機能」 . MODx.com. 2011年1月21日. 2016年1月5日閲覧
  5. ^ 「Open Profile Data」 . Gravatar Blog . Gravatar. 2011年7月12日. 2011年9月27日閲覧
  6. ^ 「Gravatar — URLの構築方法」 . en.gravatar.com . 2009年12月10日閲覧。
  7. ^ 「Gravatar 2.0へようこそ!」 . blog.gravatar.com. 2007年2月16日. 2011年7月1日閲覧
  8. ^ 「Gravatar Blog — 更新されたCropprと統計」 . blog.gravatar.com. 2007年6月11日. 2009年12月10日閲覧
  9. ^ Riley, Duncan (2007年10月17日). 「AutomatticがGravatarを買収」 . TechCrunch . 2010年8月3日閲覧。
  10. ^ 「Gravatar Blog — AutomatticがGravatarを買収」 . blog.gravatar.com. 2007年10月18日. 2009年12月10日閲覧
  11. ^ 「The Big Web Show #29: Matt Mullenweg on 5by5 (41分40秒)」(MP3オーディオ、MP4ビデオ) . 5by5 Studios. 2010年12月2日. 2010年12月12日閲覧
  12. ^ "#60638 (Gravatar: md5ハッシュアルゴリズムをsha256にアップグレード) – WordPress Trac" . core.trac.wordpress.org . 2025年12月24日閲覧
  13. ^ a b「Gravatars:メールのハッシュを公開するのはなぜ良い考えではないのか」 www.developer.it . 2025年12月24日閲覧
  14. ^ 「識別子(ハッシュ)を作成しています」 . Gravatar For Developers . 2023年7月17日. 2025年12月24日閲覧
  15. ^ニール、マッデン (2021). API セキュリティの実際の動作。オライリー メディア カンパニーの Safari (第 1 版)。 Erscheinungsort nicht ermittelbar: Manning Publications。ISBN 978-1-61729-602-4
  16. ^ Goodin, Dan (2013年7月31日). 「Githubのようなサイトにアカウントをお持ちですか?ハッカーがあなたのメールアドレスを知っている可能性があります」 . Ars Technica . 2021年10月1日閲覧。
  17. ^ Maunder, Mark. 「Gravatarに関するアドバイス:メールアドレスと個人情報を保護する方法」 Wordfence . 2021年10月1日閲覧
  18. ^ 「CERT脆弱性ノート VU#836068」 . Kb.cert.org . 2021年10月1日閲覧
  19. ^ 「オンラインアバターサービスGravatar、ユーザー情報の大量収集を可能に」 Bleeping Computer. 2020年10月3日. 2021年12月6日時点のオリジナルよりアーカイブ
  20. ^ 「Gravatar - 1億1399万759件のアカウントが侵害された」。ITセキュリティニュース - サイバーセキュリティ、情報セキュリティニュース。ITセキュリティニュース。2021年12月6日。2021年12月6日時点のオリジナルよりアーカイブ。
「 https://en.wikipedia.org/w/index.php?title=Gravatar&oldid=1329154337」から取得