トップ «前の日記(2005/12/16 (金) ) 最新 次の日記(2005/12/18 (日) )» 編集 RSS feed

HsbtDiary


2005/12/17 (土) [長年日記]

[ICT][LGPKI]長岡市認証局ホームページ

こんなページが寝ているうちにできていたようだ。

早速、ICT住民参画実証実験アンケートからもリンクが張られているが、何でトップページではなくて、LGPKI Application CAのルート証明書のインストール方法のページにのみリンクを張っているのだろう。長岡市認証局が発行している証明書の確認は必要ないの?とりあえず、

認証局のページがHTTPSではない

まちゅさんが言っているように、長岡市認証局のページはhttpsじゃない。

使用目的制限方法の間違い

ルート証明書のインストール方法のページが高木浩光@自宅の日記 - PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」で指摘されている勘違いそのものだった。

MD5を使っている

LGPKIにおけるハッシュ関数MD5の廃止について(PDF)として平成17年12月12日付で、LGPKIのページでMD5は脆弱性を理由に使用しないことを公表しているにもかかわらず、平成17年12月13日更新の長岡市認証局のインストールページではMD5のフィンガープリントを掲示している。

上記3点についてメールだけ出しておいた。

[ICT][SNS]地域ソーシャルネットワークサービス

ついにオープン。PHPで構築されているぽい。早速登録して日記を書いてみたが、日記の記法がどこにも書いてねーの。酷すぎる。-が<ul>に置換されたのでpukiwikiっぽい記法なのか?

何か、SNSなのに日記にトラックバックの送受信機能があるのが謎過ぎる。SNSで非公開設定してトラックバック送信とかも可能なの?テスト用の日記で試してみたところ受信は可能だったが、送信はうまくいかなかった。第三者が外部でトラックバックを受信して、見に行ったらSNSで外部公開はしていませんでしたとか、ひでー話だな。しかも凄すぎるのが、Trackback URLがhttps。httpに直さないと受信することができなかったし。なにこれ。

トラックバックURLは公開・非公開、ユーザーIDに関係なく以下のように

http://www.sns.ococo.jp/tb/trackback.php/3352

最後に付加される記事IDだけで管理されているので、最後のIDを連番にしてトラックバックを送れば参加者の日記全てに公開・非公開に関係なくTrackbackを送ることが出来るわけですなー。しかも、受信したトラックバックを吟味して個別に消すことができないときたもんだ。何このシステム、作ったの誰?ぶちきれますよ?

追記

というか、日記については公開・非公開、コメントについてもゲストコメントの受け入れ可否の選択などアクセスコントールが出来るにも係らず、トラックバックについてはTrackback URLの非表示や受信拒否などのコントロールができないというのが謎。しかも、送りっぱなしが可能で、管理者には消すこともできない。もしかして、ブログといえばトラックバックとRSSとか思って実装した?

[ICT][SNS][RSS]おここなごーかのRSS生成機能

さっき、おここなごーかを眺めていて日記のRSS生成機能というのを見つけたんだけど、これがまた酷い仕様だった。日記のRSSは

http://www.sns.ococo.jp/diary/rdf.php?u=[ユーザーID]

というURLなんだけど、アクセスコントロールが全くなされてなく、非公開にした日記も含めて、作成した日記全てがRSSとして生成される。おここなごーかの日記には公開範囲を設定することができて

  • ともだちのともだちまで公開
  • ともだちまで公開
  • ともだちグループまで公開
  • 全体に公開
  • 非公開

の5つから選択するんだけど、表面上はアクセスコントロールしているつもりなのに、RSSでは全て垂れ流しとか酷すぎる。しかも、見たい日記のユーザーIDをぶち込めば地域SNSに参加してないユーザーも自由に閲覧可能。mixiに置き換えてみれば、これの恐ろしさがわかりやすいと思う。何この牧歌的なシステム。

[ICT][SNS]運営がよくわかってないのに実装しているシステム

トラックバックといい、RSSの生成といい、何にぶちぎれていれているのかと言うと、運営がその機能がもたらすメリットとデメリットを考えないで実装していること。これが、地域SNSといっても「業者やウォッチャーが獲物を探して徘徊するサザンクロスシティなんだぜえ」という前提で進めているなら別にどーでもいい。

しかし、日記やプロフィールでアクセスコントロールを実装して「誰でも安全に使える地域SNS」を押し出しているにもかかわらず、はるかに外部に公開されたシステムであるべきこと(早速揉め事勃発)という名目で、TrackbackやRSSが誘発するであろう脅威をよくわからないまま実装、さらに個人が利用の可否を選択できないのは大きな問題じゃないかな。