個人的なまとめ。長い、グダグダ。あと最近見てないんでどっか可笑しいとことかあるかも。
つってもあれ以来予告.inは怖くて見ていないし、まあ今まで頻繁に予告.inを見ていたわけではないんだけども。まあ世の中では「あの程度の穴を見落とした状態で世に出すとかふざけんな(みたいな感じ?)」とか「どんな大手企業のサイトだって穴はあるし、それは仕方ないことだよ」みたいな話題ばっかな印象だった気もしたんでそれ以外のこととかも含めて。まあ忘れないようにとかのメモとかも兼ねて。
まあ偶然にもその日は遅くまで起きてたんでリアルタイムで遭遇したんだけど、面白いぐらいにスレが増えてた。そりゃもう落ちかけだったスレなんて一気に消されただろ、あれだったら。当然それに便乗するやつも出てくるわけで、警視庁爆笑する、とかのスレタイのスレも確か立ってたな。実際のところ、予告.inのアクセスログとか見れば分かるんだろうけど、傍目ではどこまでが攻撃を受けたせいでスレを立ててしまったのか、なんてのは全く分からなかったんだよな、これが。まあこれとかこれみたいにふざけて立てたのもあったんだけどね。
取り敢えず
まあそもそもXSSってなんぞ?みたいな自分には全く計り知れない領域なんだけど。えっと、勝手にiframeタグを埋め込まれて、その閲覧先がVIPに書き込む様に仕組まれたものになってたんだっけ?この時点で満足にHTMLとかCSSとかすら弄れていない自分にとってはすげー話なんだけど。脆弱性とか欠陥とかの全くないサイトなんてないよ、という意見は凄く分かる。けど「その気で」見たら簡単に見つかるような穴がほったらかし、てのもまあ聞いてて面白くはない話だよね。
バグだらけなのにリリースされるソフトみたいな感じか?やっぱりそう考えると…。「二時間で作ったものにそこまで期待するな」とも言われそうだけど、作ってから攻撃を受けるまでは時間があったわけだし、そう考えるともう少し頑張って欲しかった。これは結果論だよね、きっと。
自分としてはなかなかに皮肉がこもってるよなー、という感想しか。うん、不謹慎だと思うけど大量の「警視庁爆破する」ってスレみたときは笑ったし、これは面白いと思ったんだ。まだ直ってないのに「もう直ったから見てきてみ?」みたいな書き込みもあったしね。VIPで犯罪予告のスレが立つ→予告.inに通報なんてしょうもないことを延々とやっていることに辟易していた自分からしたらこの騒動は「ときめいた」と言っても過言じゃないと思う。それぐらいに何か期待感というか、そういうものを抱いた。
まあ犯人のやったことは犯罪だけど(だよね?当然)、それでも個人的には「良くやってくれた」と思うんだよな、この件に関しては。こうやって予告.inがどうなのか考え直す機会もくれたわけだし、そもそもiframeで読み込むのがこの程度(と言ったら駄目かもしんないけど)で良かったよな、とか思う。いや、きついウイルスとかそういうのだったりしたらもっと大変なことになってた訳だし。
まあこれは予告.inに対する犯人の最大の皮肉ってことで自分は結論づけたいよ、やっぱり。もしこれが予告.inじゃないサイトを閲覧して起きるようなやつだったら、それほど面白くもない、自分も興味を抱かないような出来事ですましただろうし。こんなネタを提供してくれたことには感謝したら良いんだろうか、個人的には十分楽しめたしね。
先ずこれまでに関して。
「0円で2時間でできたよ!」までは良かったんだと思う、その発想とかあのおどろおどろしいロゴとかね。でもここ最近はそういうおもしろさを感じないんだよな、全く。VIPのネタの犯罪予告スレとかもってきて、アウトだのセーフだのよってたかって評価つけて、んでもって管理人の判断で警察に通報。
実に面白くない流れなんだと思う。こういう言い方は好きじゃないけど「何様?」と言いたくなるような感じ。やっぱり無条件で全部警察に伝えるとか、通報する/しないを判断する権限をもつ人間を複数用意して判断するとか、何かしらもう少しマシな運用方法があったんじゃないかな、とは思うんだけどな。ここで言い具体例は挙げられないんだけど。
これからに関して。
結局アレってmegaviewとか対応したんだっけ?確かしてなかったよね。うーん、あれがでてきた元が元だから、やっぱりああいうのに対応していないとあんまり意味がないような気がするんだけどな。一層のことこういうサイトを作っている会社はフィードみたいな形で情報を提供するとか?うーん、それはそれで気分の良い物じゃないよな、延々自分の書き込んでいるものを監視されてるってのは。
「殺す」とかそういうキーワードだけ抽出する、とかも少し考えてみたけど、結局これは「数す」とかそういうのが出てくるだけで、いたちごっこぽくなるよな…つーか予告.inに対するVIPのチキンレースの時点でもうなってるか。
とにかく今までの運用方法ではもう駄目なんじゃないかな、と思う。犯罪検知サイト自体あんまり意味のあるものとは思えないけど、それでも続けるというならそれ相応のスタイルとか欲しいよな。取り敢えず通報の段階で管理人「個人」の判断がかむのはなんとかして欲しいところ。
まあそれ以前に「チクって遊ぼうぜ!」みたいな場所になってしまっている時点で理念もクソもないんだし、他にも色々と至らない箇所があるんだけどまあもういいや。取り敢えず通報するのか、スレッドを削除するのかの判断が一個人に完全に委ねられている時点で公平性とかに期待しちゃいけないんだろうな、とは思う。そこはどうにかして欲しいよね。
ま、チラ裏なんだけどね。 前半 XSSは引っかけたほうも引っかけたほうだけど、引っかかるほうも引っかかるほうだと思う。 よくある話とかいう割に大した対策もされないし、何でそん...
たとえばhttp://anond.hatelabo.jp/20080807083440 名指しで批判して悪いけど、こういった徹底して「オレ関係ない第三者だもんね」的立ち位置が非常に不快。 ネットの犯罪予告なんてゴミと一緒...