ホーム   »  スポンサー広告  »     »  ネットワーク/Web  »  FC2 モブログとセキュリティ

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

FC2 モブログとセキュリティ

モブログとは、携帯から自分のブログに書き込みが出来る機能。正式名称なのか特定ブログシステムでの呼称か知らないが、ここ FC2 でも blog@fc2.*** 宛てにメールを送るだけでブログに公開される。街で変なものを見かけた場合は素早く写真を撮り、熱が冷めないうちにその場で更新できるのでかなり便利だ。

宛先のメールアドレスは固定となっている。管理画面で 「モブログ用のメールアドレス」 なるものを入力し、そのアドレスから届いたメールは全て自分のブログに掲載されるシステムらしい。

ふと、複数のユーザが同じメールアドレスを登録したらどうなるかという疑問が湧いた。これってセキュリティ上問題があるんじゃないだろうか。ざっとこんな結果が予想される。

  1. そもそも 「このアドレスは別の人に使われています」 とか出て登録できない
  2. どのブログにも掲載されない → 「掲載できません」 等の応答あり/なし
  3. 先または後に登録したアドレスに掲載される
  4. 両方に掲載される

携帯のメールアドレスを知っている悪意的な第三者 (友達とかそんな類) が居た場合は上記のどれも問題があるのではないだろう。

送信者が意図していないブログに掲載されるという意味で 3 と 4 は明らかにセキュリティ違反、というかバグだろう。また 1 と 2 に関しても他人の悪意的な行為で自分の機能が阻害される事になる。どう転んでも問題があるようだ。

この時点でまだ試していないので、オチ無しだったら済まない…

◆実験

FC2 で携帯用のブログは既に持っているので、とりあえずこのサイトのモブログにも携帯のアドレスを許可してみよう。

1、消えた!!

何の警告もなしに登録が完了してしまった… これでシステム的には私の携帯アドレスを持つブログが 2 サイトできたわけだ。

次は携帯からの送信。この結果で 2, 3, 4 のどれかが決定する。

それでは、送信ぽちっとな

…… 

 

何も起きない… いくら待ってもどちらにも掲載されないし、エラーメールが返ってくるわけでもないようだ。モブログの新着 TOP ページ掲載も許可しているのだが、そちらをリロードしても一向に音沙汰なし…

 2、確定!!

送信元に対して複数のブログが一致したら無条件に破棄しているらしい。

◆影響

「登録できません」 等のエラーメールも返って来ないことから、意図せず影響を受けた人は問題判別が難しくなる。嫌がらせで食らったら 「ある日突然モブログが機能しなくなった?」 としか見えないだろう。

◆回避策

まぁ個人向けの無料サイトなのでどうでも良いよ、と言われればその通りなんだが、一応…

まっさきに、アカウント登録時の認証と同様にモブログ用のメールにも確認メールを送るという方法が考えられる。

また、問題の原因が全ユーザをモブログ用アドレスでユニークに識別しようとしていることだと考えれば、ユーザごとに宛先のアドレスを用意し、書き込みを許可するアドレスを設定するような方法でも良いだろう。こちらはメールで確認のようなインタラクションは不要。

それ以外では、入力されたメールアドレスが入力者のものである事をオートマチックに確認する方法がないので難しいだろう。無理やり手運用で対処するなら以下のような感じか。

  1. 登録時、または書き込み時に撥ねる (画面やメール等で通知)
  2. 運用者にそのアドレスからメールを送って通報
  3. 間違いモブログ設定の方を手作業で強制リセット

少なくとも、利用者に対して何らかの報告はあった方が良いのではないだろうか。

コメント
トラックバック
トラックバック URL
コメントの投稿
管理者にだけ表示を許可する
Profile
Takami Torao
Takami Torao
C/C++ 使いだった 1996年、運命の Java と出会い現在に至る。のらアーキテクト。
Yah, this is image so I don't wanna eat spam, sorry!
Search

Google
MOYO Laboratory
Web

カテゴリー
最近の記事
最近のコメント
最近のトラックバック
月別アーカイブ
ブロとも申請フォーム
RSSフィード
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。