storys.jp利用すると公開設定に関わらずfacebookIDがバレる
なんかはてブでちょっとホットなエントリーがあったので、
storys.jpをみてみたらまず全体的に胡散臭い。( ゚Å゚)うm
利用規約のURLをうまく処理できていない( http://info.storys.jp/-21033299923521532004--12503125211245212496124711254012509125221247112540.html ) ことからも判るように、なんか臭う。(ちなみにaboutとfaqはちゃんとabout.htmlとfaq.htmlになっていますね!)
プライバシーポリシーも良く読んでいないけど、試しにクッキーの部分をググるとまるまるコピペしていることが5秒でバレる(パクられ元)ほど、ろくにプライバシーの事を考えていない。
そんなところがfacebookと連携を促してくるのは結構怖いです。(※利用規約とかプライバシーポリシーの内容については言及しませんよ)
そして、ページの作りがめちゃくちゃ雑。
日頃からjavascriptはFirefoxのNoscriptをを使って切っているんですけど、まずjavascriptを切っていると何も見れない。そういうサイトも珍しくないけど、ただテキストを読ますサイトでこれは必ずなんか変な事をしている。
変な事は、アクセスした人の情報を記録するとかどうたらこうたらとかあーだこーだのはなしだけでなく、ページの造りが悪い事も含んでいます(ってかだいたいそう)。
案の定ソースを見るとひどいHTML…ブクマしている人でIEで見れないって書いている人もいたけどこれでは見れなくてもしょうがない。
さて、個人的に、大問題と思っているのは本記事では8行目のjavascriptに集約されている。エンコードってかエスケープシーケンスってかまぁそんな感じですけど、
とりあえず本文はデコードってかアンエスケープってかそんな感じにして読めます。
ここで気付くのですが、同時に色々なID的な情報とかも出てきます。
大量ですね。uidはフェイスブックのIDそのままっぽいですね。まぁ利用規約に公開設定でコントロールできるって書いてあるのでこの人達全員公開設定にしているのかもしれません。
だろうなぁって思ってユーザページに飛んだらまぁ大半の人がfacebookのページリンクが出ています。リンクの出ていない人を探すの大変だったのですが、一人見つけてみました。このページからfacebookのページ(uid)が特定できてしまったら公開設定でコントロールできているとはいえないと思うのですが…
http://res.cloudinary.com/tck/image/facebook/w_35,h_35,c_fill,g_north/**********.png
んんん?????このアイコンリンクは…画像のファイル名がどう見てもuidでした。ユーザひとりひとりのアイコンの画像ファイル名がfacebookのuidそのままだったので、公開設定に関わらずstorys.jpを利用しているとfacebookリンクがバレちゃいます。
んで、親切に問い合わせからそりゃまずいんじゃないの言いたかったのですが、実名主義のお問い合わせで名前とメールアドレスを要求される…
しょうが無いので胡散臭い、このはてなで使っているメールアドレスを記入して送信。明らかに捨て垢っぽいメールアドレスなのでちゃんと対応してくれるか不明です。
そもそも記入して送ったのに送信確認画面も出なくて、送信確認メールもこないのはどうなんですかね…それともeditmysite.comのjavascriptを許可しないと送れていないのでしょうか。
何をやっているのか、どういうシステムになっているのか判らないならjavascriptてんこ盛りにしないでシンプルなサービスをちゃんと作るところからはじめて欲しいと思うのです。( ゚Å゚)うm