<< ぶっちゃけどうなの、全文転載 | main | [ダイヤ]ムックル一人旅・番外編2 >>

この要望にも応えてプリーズ to JUGEM

 最近JUGEMがユーザーの要望にどんどん対応してくれているらしいのです。
 というわけで、ぜひ私の要望にも応えてください! のコーナー。(コーナーって)
 ……いや、結構本気の要望なんですよ。ふざけているように見えるかもしれませんが。

1. なんか脆弱性とかあるらしいんですけど

 参考記事1:知られざるmixiの脆弱性
 これはmixiの問題点ですが、
 参考記事2:JUGEMでも有り得るブログの乗っ取り
 同様の問題がJUGEMにもあるということ。

 確かに、管理画面内「モブログ」のところに書いてありますものねぇ。
※ モブログ用メールアドレスを他の人に知られますと、ブログを更新することが可能になりますので取り扱いにはご注意ください。
 これ、メルアドを知られることさえなければ他人から更新されることはない、と解釈しちゃダメなんですね。参考記事2の方に書かれていた一文を見て、その危険性に気付かされました。
問題は14桁の文字列をランダム生成して、無差別に広告発信するスパム業者が発生する可能性があることですかね。
 言われてみれば、これ、今後ありそうな気がしますよ。スパム業者によってエロ更新→規約違反でブログ削除、なんてことになったら目も当てられない。

 他のブログサービスでは、こちらのメールアドレスを予め登録しておき、そのアドレスから送信された場合だけ更新ができるようになっているところが多いようです。
 JUGEMもそのようにしていただけませんでしょうか。現在の仕様はかなり危険かもしれません。

※ちょこっと追記:
 複数のメールアドレス(ケータイ&PC、ケータイ複数、etc)から更新している方もいらっしゃるようですね。「登録できるアドレスは1つだけ」としてしまうと、そのようなユーザーにとっては改悪になるので、複数登録できるようになっているといいかも。

2. 最新10件は私には多すぎるんです

 最新コメント(recent_comment)と、最新トラックバック(recent_trackback)の表示件数のことです。
 たくさんもらっているブログならこれでいいのでしょうが、うちに10件は多すぎるのであります。
 古いコメント・TBによってサイドバーが縦に長くなりすぎて気持ち悪いので、うちではJavaScriptで無理矢理見た目の表示件数を5件に減らしています。しかし決してスマートな方法ではないので、本当はあまり好きなやり方ではないのです。
 もしも可能であるならば、管理画面から表示件数を選択できるようにしていただけると嬉しゅうございます。


 以上2つ、ご検討よろしくお願いいたします。(特に1つ目は重要)
 最新の「ご要望に対応しましたシリーズ」の記事にトラックバックを送信しておきます。
 →お客様のご要望に対応しましたシリーズ vol.3

 この後「お問い合わせ」からもメールを送るつもりですが、あえて記事としても書きました。
 こんなふうに思っているユーザーがいるよーと他のユーザーにも知っていただきたいのと、モブログ更新の「脆弱性」は周知させるべきだと思ったから……というのは建前で、本当は記事のネタとして使えると思ったからです。こんなユーザーでごめんなさい。


 同日23時過ぎに追記。

 サポートに送ったメールに、早速返信をいただいたのですが、どうやら私の提案が正しく伝わらなかったようです。

 なんか「こちらでメールアドレスをランダム生成しようが、お客様が自分でメールアドレスを設定しようが、スパムにやられる可能性は変わらないよ。むしろ単語に意味のあるアドレスや短いアドレスを設定されると危険性は高まるよ」みたいなことを言われました。

 違う違う、そうじゃありません。
 「モブログアドレスを自分の好きなものにしたい」と言ってるわけではないのですよ。
 私が言っているのは受信側のアドレスのことではなくて、送信側のことなの。こちらの携帯メールアドレスを予め登録させておけば、更新できるのは私だけでしょ? ってことなんです。
 現在の仕様では、他人のメールアドレスから送信されたメールであっても、無条件にブログに反映されてしまいますからね(モブログ初期設定を「非公開」にすればワンクッション置くことはできるが)。

 って言うか、私の表現ってそんなにわかりにくかったかなあ……
 ちょっとショック。
 とりあえず「そういう意味じゃない」と訂正を送っておきました。今度こそちゃんと伝われー。

 最新コメント・トラックバックの表示件数の件は、前向きに検討していただけるとのお返事でした。
 期待してます。
| インターネット | 11:08 | comments(4) | trackbacks(1) |

スポンサーサイト

| - | 11:08 | - | - |

コメント

はじめまして。過去記事に今頃トラバ&コメントでスイマセン。
JUGEMのモブログは、今のところ「一度設定してしまうと解除できない」という困った点もあるみたいです。。。
この記事でもご指摘のあるような、脆弱性の高いシステムなのに、コワイ。
ということを、今頃ですが気付いたので。
私、モブログ解除したいので、現在JUGEMに交渉中でございます。

なお、今回はいったんあげた記事に追加修正をしたときにトラバしたので、トラバの表示が奇妙ですがお許しください。

ところで、結局seraさんのこの記事でのご要望、現時点ではまだ直っていないということですよね。
私が数ヶ月経った今でも、同じような記事を書く羽目になっているのですから。。。
このあとの、JUGEMからの返答はどうだったのでしょうか?少々気になります。
| ケロケロほよよ? | 2007/04/07 00:01 |
はじめまして。
この件についてのJUGEMからの返答ですが、「前向きに検討したい」のみでした。

どうも、JUGEM側の認識は、「モブログアドレスは再生成できるので安全性に問題はない」ということみたいです。
これではランダム爆撃を食らったら対処できないのですが……

今の時点ではどうやら改善する気はないみたいですが、このシステムは重大な問題を含んでいると私は思います。
今のところこういう問題を意識している人自体が少ないせいか、あまり大きな問題とは思ってもらえてないようです。
もっとこの問題を意識する人が増えて、声が大きくなれば、JUGEMも変わってくれるとは思いますが……しかし実際にスパムが発生してからでは遅いのですよねぇ。
| sera | 2007/04/07 07:14 |
どうも、お答えいただきありがとうございます。やっぱり「前向きに検討」だけで済まされてしまってましたかぁ。。。
ちなみに今日現在まだ、私のモブログは解除されていません。

ブロガー側としても、スパムメールが自分の記事として公開される恐怖がありますが、どっちかっていうと、スパム業者から一挙に、大量のメールがJUGEMサーバに自動送信され、サーバがダウンする(=アクセスできない、最悪、データが吹っ飛ぶ)っていう心配もありますよね。
そうなると、JUGEM側としても放置できない問題のはずなんだけどな〜、と思います。

なので私は再度、自分のモブログ解除要望を出すほか、サーバへの攻撃可能性を理由にしての仕様改善も要望しました。返事はまだですが。。。。
| ケロケロほよよ? | 2007/04/10 21:36 |
>スパム業者から一挙に、大量のメールがJUGEMサーバに自動送信され、サーバがダウンする

こうなるともはやモブログの脆弱性とかそういう問題は飛び越えてしまう気がしますが……
JUGEMはスパムメールを記事として公開できる、とスパム業者が考えるようになると危険ですね。

JUGEMが積極的に動きたくない理由の一つとして、「特定のメールアドレスからしかモブログ投稿できない」ということを不便と考えるユーザーもいる、というのがありそうな気がします。
もちろん、単にメンドクサイっていうのもあるでしょうが(笑)

いずれにせよ、モブログの解除くらいはできてもよさそうな気がしますね……
| sera | 2007/04/12 22:39 |

コメントする










※半角英数のみのコメントは拒否されます。
※emailは無記入推奨。

トラックバック

JUGEMのモブログ、かなりキケン!!

※注:2007.4.6、記事の一部修正と追記を行いました。 さっき投稿したばかりだけど、慌てて追加で投稿です。 先ほどの投稿後、試しにJUGEMでもモブログ設定してみたのですが、 初めて気付きました。 JUGEMのモブログ、かなり、キケンじゃないか!!と思ったので
| (^o^)ブログをやってきて考えたこと | 2007/04/06 23:49 |

この記事のトラックバックURL

http://srl.jugem.jp/trackback/360

※言及リンク必須。
 記事へのリンクのないトラックバックは受け付けません。