プログラムの点から、Amazonの「ほしいものリスト」問題について考える
すっかり乗り遅れましたが
■密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?
http://japan.cnet.com/blog/staff/2008/03/12/entry_25005890/
Amazonでこんな事が起こるなんて…
ウィッシュリストが公開、非公開と選べたのは知っていたけどそれがメールアドレスや名前で検索できるようになっていたとは知らなかったな。あまり使わない機能だったから。
プログラム以外のUIなどの点で問題点を見ると
- 「ウィッシュリスト」作成時、デフォルトが「公開」しかも文字が小さく状態がわかりにくい。
- 「ウィッシュリスト」作成時の名前がアカウントネームにされてしまう。
- ↑ほとんどの人がアカウントネームを本名にしている
上記の3点の対策(?)を考えると
- デフォルトを「非公開」にする。公開時には目立つようログインのたび表示する
- アカウントネームに本名やメアドを登録させないようにする
うん。これでわかりやすい。
ニコニコ動画の「マイリスト」みたいなのが理想。あれはメールも隠せるしいいよね。
そういえば、今はどうだか知れませんがgoogleカレンダーの機能もデフォルトが「公開」になっていたそうです。少なくない人数が非公開だと思って私的なスケジュールを書込んでいたら個人情報世界公開!どうしてくれるんだ!
みたいなニュースを見た事があるのですがアメリカの方はそういう事は開けっぴろげなのでしょうか?
プログラム的に問題だと思われる点
- 「友だちにほしい物リストについて知らせる」機能が脆弱すぎる
これ、一番問題なんじゃないでしょうか
■Amazonのすごいアクセス解析サービス-ぼくはまちちゃん!(Hatena)
http://d.hatena.ne.jp/Hamachiya2/20080312/amazon
にもある通り
じゃあ試しにメール送信時のリクエストを確認してみると…
http://www.amazon.co.jp/(中略)=(自分のメールアドレス)&submit=submit
(↑ 自分のほしい物リストを メールアドレス宛に送信)
うん。 GETでもおk。
GETで送信されるため、URL書き換え程度でどんどんメールが送れちゃう。
フォームでGETがヤバいって、こういう事を言うのか…勉強になるわ
これに関してもうひとつ興味深い記事を2chで見つけたので転載します
引用スレ
http://mamono.2ch.net/test/read.cgi/newsplus/1205353120/756756 名前: 名無しさん@八周年 Mail: sage 投稿日: 2008/03/13(木) 11:49:45 ID: dBW37DMD0
一応言っておくけど、USのAmazonもデフォルトで公開だからな?w
この条件は日本と変わらない。
別なところがかなり違うけど。
というか、ウィッシュリストの送信のFormタグそのものが違う。(ソース略)
USは1クリック詐欺っぽい事ができないように、ウィッシュリストのIDを入れないと送信できないようになってる。
つまり、AmazonJapanの不手際だよ。
アメリカの方はウィッシュリストのIDを入れる事でセキュリティをあげているようです。
日本の方もはやく対処してほしいですね。
しかし、どんなにセキュアなサイトと言っても必ず穴のようなものはあると考えた方がいいかも知れません。
結局自分の身は自分で守るしかないようです。使わない時はログアウト!
あれ?Amazonからログアウトするのってどうやるの?
ちなみに、Amazonからサインアウトしたい人は、「サインイン」のリンクをクリックすればいいですよ。
Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!
ズコー(AA略