(^o^)ブログをやってきて考えたこと

2年半、ブログをやってきて今は更新停止しました。記事はあくまでも、執筆時時点の情報なので、あしからずご了承ください♪

一定期間更新がないため広告を表示しています



  • Category > -
  • Written by > スポンサードリンク

前回の記事で書いた、JUGEMのモブログのキケン性についての追加情報です。

前回は、自分のブログにスパム記事が投稿されるキケン性を感じ、
JUGEMにその旨の指摘と、自分のモブログ設定の解除を依頼した、と書きました。

結果として、3回メールを出してようやく、私のモブログ設定は
システム側から解除していただいたのですが、
やはり、自分ではできない、というのは大きな欠陥だと思いますです。

まあ当面の処置としては、いぶさんのコメントにもあったように、
モブログ専用のカテを作り、そこに入るようにするのも手で、
更に「初期では下書き扱い投稿」に設定しておけば、とりあえず表には出ません。

が。キケン性はこれだけではないのでは?と思いまして。。。



ちなみに、前回の記事http://k6k6.jugem.jp/?eid=90で指摘したのは、
ekkenさんのこの記事 http://ekken.blog1.fc2.com/blog-entry-416.html を受け売りにした、
単に、「スパム業者が、自分のブログにエロ記事を投稿」というキケン性だけでした
(これでも十分、キケンな仕様だとは思いますが)。
しかし改めてよく考えたら、JUGEMのブログサーバ(メールサーバも?)をも
クラッシュさせかねないものだと思うんですよ。
あえて、先日(4/15)に受験した「情報処理試験の解答」的な言い方をすれば、
JUGEMサーバに「可用性を脅かすDoS攻撃」がされるリスクがあるんで。

何故か?というのをちょっち説明します。
JUGEMのモブログアドレスは、少なくとも今のところ、
14桁固定の、ランダム英数文字列@mo.jugem.jp」なのです。
桁数が固定されていて、しかもどうやら、若干固定なアルゴリズムもあるみたい。
つまり、「ある桁数目」に入る値が制限されているうえでの14桁固定なので、
スパム業者にかなり破られやすい構造をしています。

で、既に設定され実在しているモブログアドレスに送れば、
何処から送っても、記事投稿が可能なわけで。。。。。

なので、スパム業者が一斉に、この仕様を突いて、
「(14桁英数字)@mo.jugem.jp」
というアドレスを自動生成し、手当たり次第に送信し始める可能性が、かなり高い。
そうなると、当然、大量にJUGEMのサーバに一斉にメールが送られるし、
その中にはモチロン、エラーで弾かれるものも相当出てきて、
サーバへの負荷は大変なものになります。

それで、JUGEMのブログが重くなったり、エラーが出たり、
最悪の場合は、データが消えてしまう可能性すら否定できません。
で、サーバがクラッシュしてサービス不能になる。。。

こういう、大量投入式に妨害するタイプの攻撃を、
「可用性を脅かす、DoS(=Denial of Service)攻撃」というのですが、
参考:
http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap3/3_require-3.html
http://www.secomtrust.net/secword/dosattack.html
おもむろに、JUGEMのモブログアドレスの仕様はセキュリティホールだと思います。

私はその旨を明記・主張した上で、自分のモブログ解除を要望し、
更には、仕様改善の要望も出したのでありました。
それまでは、私のモブログ設定を「解除できません」の答えだったJUGEMが、
この指摘をしたら、少なくとも私の分は、システム側で解除してくれました。

仕様の改善自体は、「検討中」とのことでしたが、、、、、をいをい。。。。^^;;

こういった危険も多々考えられるので、JUGEMのモブログを使う予定のない方は、
上記のような理由を付けて自らJUGEMに申し出て、解除した方が良いかなと思います
(現状では、自分では設定解除できないので)。
モチロン、モブログを現在活用されている方は、解除することはありませんが、
それでも安心して使えるようにするため、仕様改善の要望は送ったほうが良いのかも
(事前登録したアドレスからのみ更新可能にしてほしい、という意味)。

ちなみにこのタイプのスパムでは、更に運が悪ければ、
インターネットそのもののトラフィックが増大する、という影響もあるので、
他の、何にも悪くないフツーのメールの遅延とか、消滅とかもありうる。。。。
そうなると、迷惑を受けるのはJUGEMユーザだけではなくなります!!

そしてスパム業者でなくとも、JUGEMやJUGEMブロガーに恨み?を持つような人が
嫌がらせとして、DoS攻撃をする可能性も少しはありますよね。
逆恨みって、ドコで受けるか分からないじゃない?・・・って、考えすぎ???

JUGEMには、早急に、根本的な仕様改善(事前登録アドレス制など)と、
「自分でも設定解除出来る」システムの構築を要望するところですね。。。。






  • Category > -
  • Written by > スポンサードリンク

Comments

▼コメントする









Trackbacks

Trackback URL

モブログ投稿メールアドレス大公開


他人の著作物であるメールマガジンを勝手に大公開しているブログがあり、そこに モブログ投稿用のメールアドレスも乗っていました。  http://www.google.com/search?q=post+%40blog.seesaa.jpこんな...

  • てくてく糸巻き
  • 2007/04/24 12:06 AM
このpageのtopへ▲

November 2017


   1234
567891011
12131415161718
19202122232425
2627282930  
<< November 2017 >>
こいぬ


都合により、更新を停止いたしました。

なお、このブログで書いている「各社のブログ機能比較」の記事は、あくまでも「執筆時時点」での情報に基づいています。
そのため、現在は機能変更等で事情が変わっているものもあり、また、私の個人的意見も含みますので、ご了解の程お願いいたします。


MOTHER3

Recent Comment

Recent Trackback

ax.xrea
このpageのtopへ▲