記事本文
特定のはてなダイアリーに不正アクセスできる可能性
さっき自分のはてなダイアリーで試していて気付いたんですが、特定の条件下で特定の操作をすると、表示されるべきでない部分が表示されてしまうような……。
システム上の穴だと思うんですが、これを他人のダイアリーで試すとおそらく不正アクセスに該当してしまいそうなので、 IRC チャンネル #順列都市あたりの方にお願いして、許可を取った上でテストして再現するのを確認しようと思います。
システムの穴というよりは、使用方法によって起こり得る事態だっただけでした。 でも、このことを知らない人も大勢いそうだなあ。 はてなに連絡しても対処できない範囲だろうし、詳しいことは胸に秘めておきます。
この類の不具合ははてなアイデアには出さないように !
もしはてな側に連絡する前に具体的な手順を公表した場合、仮に明らかにシステムに問題があったとしても、公表した側が責められるかもしれません。 ( はてながそのようなことをするとは思いませんが、過去の事例を見る限り、安易に公表をしない方が良いと思います。 ) よって、はてなアイデアには出さない方が良いと思うのですが、そういったアナウンスがあっていたかなあ……とはてなアイデア日記を検索してみてもそれらしい記述はない。
ということで、はてなアイデア内で「セキュリティ」をキーワードにして検索してみると、はてなアイデア - セキュリティ上緊急を要するものや他のユーザに被害が広がるおそれのある不具合については、はてなアイデアを利用せずメールで連絡するルール。トップページやヘルプに明記願いますが見つかりました。
既に実装済で、
ヘルプに追記しました。ご指摘有難うございます
とのことだそうです。
これをオフィシャルなアナウンスと捉えてはてなアイデアのヘルプを見てみると…
- はてなの各サービスへの要望や不具合報告をお寄せください
はてなアイデアは、はてなの各サービスへの要望や不具合報告を「株式」に見立て、仮想的な市場での株式取引を通じて要望や不具合の適正な価値を見出そうとする試みです。
はてなユーザーははてなの各サービスへの要望や不具合報告を登録することができます。 (ただし、他のユーザーに被害が拡大する可能性がある脆弱性情報などははてな質問箱からご報告ください。)
と、一応書いてありました。 最初にヘルプを見たときに見逃していて 「書いてないじゃん ! 何が実装済みだよ ! 」 なんて早とちりしたのは内緒。
とりあえず、私以外のダイアリーでも再現することが確認できたら、はてな質問箱で報告してみようと思います。
