はてなアイデアの(些細な)バグ

はてなアイデアの(些細な)バグ

[][] 政党にはタグが付けられないようにしたほうが良いと思う。

バグ概要

アイデア対するタグ付けの不具合。「総選挙はてな」の各政党に対しタグを(中途半端に)付与できる。

影響

はてなアイデアのタグ一覧部分(トップページのタグ一覧の部分を含む)に、不適切な文字列を表示させ得る。しかも、そのタグはやや phantom っぽくなる。ここで phantom っぽいというのは、タグ部分をクリックしても付与先のアイデアが表示されないというくらいの意味である。

タグをクリックしてもタグ対象アイデアが表示されないということは、どのアイデアに付与されているのかをすぐに知ることができない、ということを意味する。

したがって、このバグを悪用された場合、善意の利用者さんが悪戯タグを外そうとしても通常の悪戯タグよりも処理が困難となる。

再現方法

総選挙はてな」の各政党に対し、タグ付けのアクションをPOSTで直接呼び出すことでタグ付けが可能。さきほど実際に senkyo idea 4947 (自由民主党)に対して「郵政民営賛成」タグを付け(現在は削除してある)、この攻撃が可能であることを確認した。

ここでは省略したけれども、攻撃の具体的な URI を見ると rkm パラメタが必要であることがわかる。すなわち、はてな利用者としてログインしていなければ攻撃はできない。

あまり深刻でない部分

トップページのタグ一覧部分は最新の数件が表示されるだけであることから、時間の経過とともにトップページからは消える。このため、執拗な攻撃を受けた場合でなければ、被害は少なくできる。

タグ一覧ページの場合には、(攻撃タグ以外も含めて)タグの総数が増えてくれば、必然的に攻撃タグの位置付けは小さくなる。また、この攻撃で phantom 的にタグ付け可能な対象アイデア数の上限は、総選挙はてなに株として出ている政党数に制限される。よって phantom 攻撃に留まっている限り、タグ・クラウドも小さいままであり、目立たないだろう。

はてな利用者のみが攻撃可能なので、少なくとも「はてな」さんは攻撃者の ID を知ることができる。

ちょとよくない点

各政党株のページにはタグが表示されない。このため、誰が悪戯したのかという点については、利用者の側は知ることができない。このことにより:

  • 悪戯タグ(攻撃タグ)に気付いてしまった利用者の不快感が増す。
  • こっそりと悪戯したいというタイプの攻撃者に対して抑制が働かない。

などの、よくないかもしれない点が思いうかぶ。

また、前述した点の繰り返しになるが、攻撃タグ(悪戯タグ)がどの政党株に対するタグであるかが閲覧者にはわからないことから、

  • 善意のかたが攻撃タグを外そうと思った場合、タグが取れるまで delete リクエストを(各政党に対し順番に、あてずっぽうに)試すしかない。

という面倒くささも、ある。

まとめ

ざっと走り書き程度のメモではあるけれども、何かの参考になればよいなと思う。「はてなアイデア」にも出しておいた。

idea:5938([不具合][総選挙はてな] 政党にはタグが付けられないようにしたほうが良いと思う。)

(初稿 2005年9月9日 14:06JSTころ(非公開) 公開2005年9月10日 12:30JSTころ)