GoogleカレンダーのHTMLソースに氏名とメールアドレス 79
そもそもなんのために使ってるんだろう? 部門より
あるAnonymous Coward 曰く、
Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか?
メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。
ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。
蛇足かもしれませんが、一応補足させていただきます。
Googleカレンダーにログインし、左ペインにある「マイカレンダー」の「作成」をクリックするか、「設定」をクリックした後表示される画面にて「新しいカレンダーの作成」をクリックすると、「新しいカレンダーの作成」画面が表示されます。各項目に必要事項を記入後、「カレンダーを作成」ボタンをクリックすることによって、デフォルトで用意されているもの(本文中の「メインのカレンダー)とは別に、カレンダーを作成することができます(本文中の「サブのカレンダー」)。
Top画面に戻りしばらくすると、左ペインにある「マイカレンダー」の欄に今作成したカレンダーが表示されます。再度「設定」をクリックすると、作成したカレンダーの一覧が表示されるので、そこから先ほど作成したカレンダー名のリンクをクリックします。カレンダー設定の画面になるので、「カレンダーのアドレス」の項目にある3つのアイコン(XML、ICAL、HTML)のいずれかをクリックするとURLが表示されますので、そのURLにアクセスします。
URLにアクセスした後にソースを表示してみると、氏名とメールアドレスが含まれていることが確認できます(当方の環境ではICALは確認できませんでしたが、XML及びHTMLで当該事象を確認済みです)。ちなみに、当該カレンダーを公開設定にしていない場合はこの事象は再現しないようです。
そして (スコア:3, すばらしい洞察)
となるんでしょうか。
# 最近のGoogleは本当にノーガードに見える、ストリートビュー問題とか。
# きちんと理論武装してるわけでもなく、叩かれても放置だし。
神社でC#.NET
Re:そして (スコア:2, おもしろおかしい)
Reserch and Development ではなく
Reserch and Design を行っているのです。
# 今日も幸福幸福。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Google「私たちも悪人に勝手にソースを見られたんだ!被害者だ!」 (スコア:1, 興味深い)
Re:Google「私たちも悪人に勝手にソースを見られたんだ!被害者だ!」 (スコア:2, すばらしい洞察)
多くの悪しきものもそれ自身は善意から始まった、というのは歴史を振り返ってもよくあることです。
Google (スコア:1, すばらしい洞察)
覚悟ないなら使うな。
伝言ゲーム(ぼすけて風) (スコア:3, おもしろおかしい)
ユーザー「予定は未定」
Google「予定は誰でも好きに見てー」
Re:Google (スコア:1)
Re: (スコア:0)
Re:Google (スコア:1, おもしろおかしい)
Re:Google (スコア:1, すばらしい洞察)
認証かかるyahooとかのサービスもyahoo自体には漏れてる、って言いたいの?
だとしたらレンタルサーバも使えないし、プロバイダのメールサーバも使えない
おお、こわいこわい
Re: (スコア:0, オフトピック)
うむ。
もともとこういうところなんだってことは注意深い人ならとっくの昔に気づいてたことだし。
それでも便利だからって使ってるだけで、何の知識もない輩がただ真似て使ってればどうなるかって例だね。
この間のMapでの学校の先生みたいに恥を晒したくなかったら使うな、と。
Re:Google (スコア:1)
Re:Google (スコア:2, すばらしい洞察)
その「共有設定のところ」のどこに、
氏名とメールアドレスが公開されますと書いてあるの?
(これだから信者は困るわ…)
Re:Google (スコア:1)
うーん.「公開される」とだけ書いてあって「でもメールアドレスなども公開されるからね」とも「カレンダーの内容が公開されるだけで誰のカレンダーか特定できる情報は出ないよ」とも書いてないわけで. それをカレンダーの匿名公開だと思う方がよほどgoogle信者だと思うけどな.
だからこういうストーリーがネタとして成り立つ訳か.
Re: (スコア:0)
2,3例を挙げてもらえませんか?
Re: (スコア:0, 参考になる)
公開したく無い大事な用事は、メールか何か、別のものを使ってやりとりするのが正しいでしょう。
Re:Google (スコア:1, 参考になる)
Re:Google (スコア:2, すばらしい洞察)
Googleじゃないけどそういうカレンダー利用してるし。
でも自分がやるとしたら、そういう例では匿名にする意味もあまりないけど、積極的に名を売りたいとも思わなければ匿名を選ぶかな。間違って嘘情報流した時に責められるの嫌だし。
Re:Google (スコア:1)
Re: (スコア:0)
そもそも、Googleは個人情報が管理できないなら、実名の収集をやめておくべきでしたね。
Re: (スコア:0)
Re:Google (スコア:1, すばらしい洞察)
住所や電話番号も含め、いかなる情報も単体では個人情報にあたらないので削除する必要はありません。
Re: (スコア:0)
Re: (スコア:0)
それは「弁護士に相談したら弁護士が2chに書く事と同じと思え」って言っているのと変わらん。変だろ。
バレると恥ずかしいカレンダー (スコア:1, おもしろおかしい)
Re: (スコア:0)
#魔法使いなのでAC
Re: (スコア:0)
怖いなー (スコア:1)
その人や属する組織を陥れることが可能だな。怖いなー(棒読み
Re:怖いなー (スコア:1, 参考になる)
#親トピの人の名前を見て「カレンダーにElberethと刻んでおけば変な人に見られずに済むのかな」とか妄想したのでAC。
Re:怖いなー (スコア:2, おもしろおかしい)
つい脊椎反射でマップと書いちまったよ!
ついでに言うと、(あなたのことじゃないけど)
いつもElberethと書いてるけどここでは変な人が
寄ってきちゃいます! 全然効果ないです!
どうせなら (スコア:0)
いっぱい出てきます (スコア:0)
Re: (スコア:0)
この件で (スコア:0)
Re: (スコア:0)
ステートフルなWebアプリ? (スコア:0)
いわゆる「ステートフルなWebアプリ」な
開発形態やFrameworkが普及すると、
このてのミスも減ってくる、のではないでしょうか?
というのは、こういう
「見せないけど実はHTMLに紛れさせてる情報」の類を
サーバ側のステートの一部として
容易に管理できるようなアプリ構成/FWになっていれば、
わざわざそれをHTMLにも書き出そうなどと思う人はいなくなるだろうから、です。
GUIアプリを作ってたころ、
パスワとかを変数に格納することはあっても、
それを必要もないのにGUIコントロールにして画面に貼り付ける人など、
いなかったと思います。
でもWeb畑では、Hiddenだのなんだので、それに近いことが横行している。
そしてパスワなどの危ない情報は「Hiddenに入れないよう注意」しろと言われる。
(言い換えれば、ステートレスアーキテクチャのせいで、「必要がある」ケースが過剰に広がってしまった、とも。)
これ、開発体制というかFWが吸収すべき事柄の1つではないか?と思います。
Re:ステートフルなWebアプリ? (スコア:2, 参考になる)
Javaなり、ASP.NETなり、Pythonベース、Rubyベース、Perlベースなど。
しかし、そのフレームワークを理解しないまま、セッション管理をしようとすると、
ミスが起きます。
例えば、あなたのような、プログラミング一般の知識はあるけど、Webプログラミングの知識に
乏しい人が、セッション管理フレームワークに対しての調査もせずに、自分のヒラメキだけで
セッション管理システムを構築するような場合です。
Googleの場合は、まさかセッション管理用のトークンをHTMLソースに埋め込んでいたわけでは無いと思います。
ですので、ミスではなく、単に認識の相違です。
Googleは、サブカレンダーを匿名カレンダーとして公開する用途は想定していなかった。
(非公開か、作成者を明かして公開かの2パターンしか考えていなかった)
利用者は、ブラウザ上に表示される情報だけで匿名である、と判断してしまった。
公開したMS WordやExcelのドキュメントに、実名がメタデータとして埋め込まれていたのと同じようなものです。
Re:ステートフルなWebアプリ? (スコア:1)
ということは、少なくともその雑誌では添付されたレポートファイルをそのまま投稿者に転送しているのだろうと推測できます。
Re:ステートフルなWebアプリ? (スコア:1, 参考になる)
#元コメントの人は、WEB関連の開発をしたことがないのでしょうけど
#何でこんな話が無くならないのかは、HTMLを使って認証機能を作ってみるのがいいですよ
#HTMLやブラウザやURL(URI)にパスワードとIDを保存しないまま、画面が変わる度にどうやって
#認証し、セッションを維持するのか等、面白い経験を出来ますよ。
#
#単体アプリケーションならIDとパスワードなんて認証が終わったら捨ててもいいかもしれないデータですしね。。。
Re: (スコア:0)
それをクッキー(inputのhiddenでも別によさげ)にでも保持させると思います。
これだと問題はあるのでしょうか。
Re:ステートフルなWebアプリ? (スコア:1, 参考になる)
その場合だと再送攻撃対策としてhttps必須だよね。
普通はハッシュだけでなく多層に防衛策を講じるよね。
Re: (スコア:0)
で、要件に合わせてより高度に暗号化という感じで。
Webセキュリティの常識みたいなものって、
あまり教わる機会がなかったりしますね。
Re: (スコア:0)
Re: (スコア:0)
どれくらいセキュリティ的に強くなるんですか?
ほとんど変わらない気がしますが。
Re: (スコア:0)
オフトピ(Re:ステートフルなWebアプリ? (スコア:0)
肝心な本文で、親コメントへの呼びかけや説明を
「#」で始まる文章で書いているのに違和感を感じます。
「#」で始まるのは、「独り言」とかを書いたりするもの
だと思っていますが間違ってますかね?
つまり「論外の部分」を示すものだと。
せっかくなところを「論外」にしちゃもったいない。
なんでこうしたのか (スコア:0)
なんでわざわざ見せる形にしたのか、くらいは考えてみてもよかろう。
その方が便利、ということもあるかもしれないし。
…と思ったんだけど、まともな理由が思い浮かばないなー。
誰のカレンダーだか分からなきゃ困る、というのだけはありそうだけど
なぜメールアドレス?
アカウント情報で唯一ユニークなものがメールアドレスで
アカウント処理はすべてメールアドレスをキーに行っていて
デバッグの都合上メアドは噛ませるようにした、とかだったとするなら
流石にお粗末。
Webアプリはベータ版上等、というのを考え直さざるを得なくなる。
アカウントなしで使えるもの (スコア:1, 参考になる)
あとマップを「見るだけ」(マイマップを作らない)とか、
他人が作ったカレンダを「見るだけ」とか
# teacup掲示板の書き込んだ人のリモートホストがコメントアウトで隠れてるって仕様を思い出したよ。
# 1990年代、なつかしいね。いまはどうだろうか。
Re:アカウントなしで使えるもの (スコア:1)
アレはアレで便利でしたけどね、名前変えて自作自演してる人がすぐバレたりしますから。
#最近teacupの掲示板自体を見かけないかも。
#と思って検索してみたらまだやってるのね。デモ用掲示板 [teacup.com]を見る限りリモートホストがコメントになってる機能も健在っぽいです。
神社でC#.NET
Re:アカウントなしで使えるもの (スコア:1)
「ソース内にコメント表示」、「掲示板の表に表示」、「表示しない」の三択だったかな?