<前の日記(2003年09月21日) 次の日記(2003年09月24日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3235   昨日: 3315

2003年09月23日

はてなへの寄付

はてなにはずいぶんとお世話になったので、はてなポイントで寄付をした。ポイントの購入の画面に行き、クレジットカードでポイントを購入して、はてなダイアリー日記にある「はてなダイアリー運営費捻出のための寄付にご協力ください」のリンクから寄付をした。一度に1000ポイントまでしか送信できないが、何回でも送信できる。5パーセントの手数料が別途かかるのと、残ポイントが300ポイントを下回るような送信はできないので、必要なポイント購入額を事前に計算しておいた方がよい。

はてなは時々止まることがあるし、はてなダイアリーが資源確保に見合うだけの収益を得られているとは思えなかったので寄付をしたい気持ちになったが、これは個人的な印象であって、本当に寄付が必要な状況なのかどうかはわからない。(などと書くのは無粋か。)自分が受けた恩恵に見合うと思える額を寄付した。

ちなみに、私が5月にWeb日記を始めるにあたってはてなを選んだ経緯は、まずは自分でシステムを設置しようと思ったが、個人の立場で書くことが重要であるため勤務先の資源を使うことを避け、しかしながら契約している接続プロバイダのWebページサービスではCGIを使えないため、自宅サーバを確保するしかなかった。面倒なのと時間がなかったのでそれを諦め、tdiary.netを使いたかったが募集が終わっていたので、はてなを使うことになった。

はてなの安全性を考える

以前から気になっていたのがここのアクセス制御の弱さだ。致命的ではなく、対策方法はそう単純ではないため対応してもらえない可能性があるので、また悪意ある者には既にわかりきったことであろうから、ここに書くことにする。5月12日の日記に頂いたコメントによれば、「はてなダイアリーへの要望」というキーワードをこのように本文中に書いておくと、運営者の目にも触れるらしい。

はてなにログインすると、「rk」という名前のcookieが発行される。その内容は、

rk=e3ver6k2e587nuyiu6o38rjwww84m3
といったように30文字のランダムっぽい文字列となっている(上の値は架空のもの)。有効期限は10年間と指定されている。

この30文字をキーとしてセッション追跡(アクセス制御)が行われているわけだが、この30文字は、ログアウトしてログインし直しても、再び同じ値のキーが指定される。ログインを越えて不変の値であるので、これは「セッションID」ではない。

パスワードを変更した後、再ログインしてみても、同じ値のキーが使われる。したがって、パスワードを暗号化やハッシュしたものなどでもない。

実は、この30文字は、最初にユーザ登録したときに「仮登録のご案内」として送られてくるメールの、

下記URLに接続してユーザー登録を完了させてください。
http://www.hatena.ne.jp/register?mode=register&mail=...&randomkey=e3ver6k2e587nuyiu6o38rjwww84m3
の下線部と同じ値になっている(上の値は架空のもの)。

どうやら、ユーザ登録した直後に生成されたランダムキー(もしくはアカウント名を暗号化したものかもしれない)が、永久に認証用として使われているようだ。

ということは、一度この値を盗まれるともうどうしようもなくなるということだ。パスワードを変更しても乗っ取られる状態は続いてしまう。アカウントを放棄するしかない。

この安全レベルは、はてなの当初の「人力検索サイト」のサービスでは、それなりに妥当なものだったかもしれないが、はてなダイアリーにとっては、ちょっと不十分であるように思える。

解決方法にはいろいろ考えられるが、標準的な方法は、セッションIDを使うことだ。ログイン時に、新たにランダムな文字列(セッションID)を生成して、cookieにセットし、そのIDからユーザを検索できる管理表をサーバ側で管理する。ブラウザからのアクセスがあると、cookieとしてセッションIDが送られてくるので、それを元にユーザを検索して、ユーザごとの処理を実行する。

ただ、この改善が、現行システムの都合で簡単ではない可能性がある。その場合に、とりあえずの対処として、(本当にこのシステムでうまく実現できるかどうかはわからないが、)現在使用している30文字のランダムキーをログインの度に変更してしまう方法が考えられる。

ユーザの自衛策としては、

  • こまめにログアウトしてcookieを消去しておくことにより、cookieを盗まれる機会を減らす。
  • cookieを盗まれるセキュリティホールが発覚していながらパッチがまだリリースされていないブラウザを使うのを避ける。

ことなどが挙げられる。

はてなダイアリーへの要望

以前に書いたように、リンク元表示は350件程度を超えるとそれ以上追加されなくなるのだが、最近、この日記では、2日ほどでそれが埋まってしまうペースになってきた。やむを得ず、空っぽの日記を書いて別の日にリンク元を収集しては消すということを繰り返している。せっかく見に来ていただいても空っぽで申し訳ないところだ。

リンク元を埋め尽くすURLの大半はアンテナであり、それらをリンク元表示に含めない機能が欲しいところだ。以前書いたように、とりあえず、はてなアンテナを含めない機能は簡単に実現できるだろう。

さらにd.hatena.ne.jpも外せる機能が欲しい。はてなダイアリー内からのリンクは別のところにリストされるので外しても困らない(アクセス件数は不明になるが)。一方で、日記ページ上にアンテナモジュールを設置している方からのジャンプがリンク元表示に記録されることで、リンクされていない日記がリンク元として表示されるのが邪魔になっている。

さらに、パワーユーザ向けに、排除するURLのパターンを正規表現で登録できるようにすることもそう難しくはないと考えられる。

追記

をを、東浩紀さんからリンクされているぞ。東さんとは近々お会いする予定があって楽しみだ(何なのかはしばらく内緒)。そもそもこの日記を始めた当初、情報自由論への感想を述べることを最終ゴールとして必要な論点を積み重ねていたのだった。結局その後、言いたいことを別の形で述べてしまったため、そこに達しなかった。後日それを書きたいと思う。

検索

<前の日記(2003年09月21日) 次の日記(2003年09月24日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2003年09月21日) 次の日記(2003年09月24日)> 最新 編集