hoshikuzuの日記

2006-08-01

衰えつつあるはてな

どうも昔に比べると、会社としての「はてな」さんからのアクションがだんだん衰えてきたと思う。

たとえば、昔はこうだった。

1-Q:こういうセキュリティ上の問題があるけどどうよ?

1-A:おお!ありがとう。直し終わったよ。まだ変だったら教えてね。今後とも宜しく。

1-AA: というわけでユーザのみなさん、こういうセキュリティ上の問題があったので直したよ、よろしくね。

今はこう。

2-Q:こういうセキュリティ上の問題があるけどどうよ?

2-A:おお!ありがとう。これから直すと思うよ。今後とも宜しく。

これっきり音沙汰なしになるのである。 気になるので時々調べてみる。最初は未修正。何度か繰り返し調べてみると、いつのまにやらどうやら修正は終わっているみたいだ。 だけど報告者たる私に対する返事も頂けないし、ましてやユーザに対する告知もないのだ。これらのことは以下のふたつの弊害の原因となりかねない。

(1)脆弱性のせいで被害をこうむっていたかもしれないユーザが、その事実に気がつかずに放置される。検証も出来ないし、事後対策もできないのである。

(2)善意の脆弱性報告者のやる気をそぐ。なんで報告者が毎日気をもんでいなくてはいけないのだ?なぜ、はてなからは連絡が来ない?このままだと、はまchiちゃんみたいな悪性のが出てくるか、もしくは、脆弱性を発見してデモまで作った挙句に日記で紹介して放置する人物も出てくる。後者は過去に本当にあった話。幸い偶然にもその日記を私がみつけたので私からはてなさんに連絡してことなきを得たのだが。

(3)脆弱性を悪用した罠が作りこまれているにも関わらず、それを、はてなさんは撤去しない。

(3)は本当に頭の痛い問題である。上でも言ったが、私は、たまさか、既に第三者が発見した脆弱性を利用した罠ページを発見したことがある。たまたま発見したのだ。【他にもあるかもしれない】が私は全てを発見できるはずもない。はてな社員なら給与の内だし、なにかでっちあげてスクリーニングするだろう。その上でそういった罠は全部つぶす。クッキー取られ放題のエントリがあったら死にそうである。

(1)(3)が組み合わさるとどうなるかについて、ちょっと考えればすぐにわかるはずだ。

はてなの信用度は私の中では徐々に磨耗してきている。

だいたいね、はてなダイアリートップページにおいて、JavaScriptをオンにしないと利用できないコンテンツがあるのだ。これはまずい。非常にまずい。セキュリティ上もユーザビリティ上も。このことはかつて要望を出したが黙殺されている。技術的な代替案まで出し、見掛けは従来どおりだがJavaScriptオフでも利用できるようにと頭をひねった案だ。というよりもマジメなWebDesignerだったら常識なのだが…

スクリプトがどんどん増えてきて万歳である。であるが、スクリプトオフで閲覧できないようならカスである。私が万歳といっているのは、最早お手上げかも?という意味である。