□ でんち [2006年10月05日11時51分]

はじめまして、お世話になっております。

http://www.baboojapan.com/
にて、birthday v.3.0を使わせて頂いております。

実は、お誕生日登録者の方からメールがあり、
登録したご自分のメールアドレスをYahoo検索にかけてみたところ、
当サイトのbirthdayログがヒットしたとのことでした。

その方のメールアドレスで実際に試してみたところ、
ヒットしたURLは「birthday.cgi」そのもので、
クリックすると「ファイルのダウンロード」の画面が出ます。
保存して開いてみると、文字化けはしているものの、
他の方のアドレスも見ることができてしまいました。

試しに他の方のアドレスを任意で2〜3検索をかけてみたところ、
ヒットしませんでした。

このことから、すべてがヒットするわけではないようなのですが、
１件でもあるということは、情報が漏れてしまうことになるので、
管理者としてはなんとか対策を打ちたいところです。

index.htmlを各フォルダに設置して、階層を覗けないようにし、
また、表に表示されないよう、メールマーク画像に
アドレスをリンクさせないようにしているのですが、
今回の件ではあまり役に立っていないようです。

何か対策法がありましたら、アドバイス頂ければ幸いです。
当方、CGIは作れません、簡単な改造
（表示項目変更、send mailなどの既存のTIP追加、初期設定項目の追加など）
ができる程度です。
お忙しいところお手数おかけしますが、どうぞ宜しくお願い致します。

□ NXer [2006年10月06日15時02分]

はじめまして。NXerです。

>他の方のアドレス

参考までにこの↓ような表示でしょうか。
BUF += '<option value="user@abc.biglove.org.uk,beth,これはテストです。">◇10/01:test様';

もしこの表示なら、確かに見えますね。

>簡単な改造（表示項目変更...

は可、ということですから、次の1行の挿入編集をお試しください。
以下のような効果を得ることができました。

-------------------------------------
482　#■バッファにはメルアドを表示しない変更　nxer
483　$mail="dummy";
484 print "BUF += '<option value=\"$mail\,$url\,$msg\"$mark$wrt_b:$name様';\n";
485 $b_max++;
--------------------------------------------
483の一行挿入です。

これで、もし、メルアドが検索結果で表示された内容と一致すれば
その解決になると思われます。

入力後の検証例です。

http://127.0.0.1/~user/birthday/birthday.cgi?html
のようにしてみます。

1　○　ダミーの表示になっています。
------------------------------------、
　BUF += '<option value="dummy,,これはテスト登録です。バッファにはメルアドはdummyと表示されます。">◇10/08:山田一郎様';
-------------------------------------

2　○　今月の誕生日欄のメールアイコンを押すと、メーラのアドレス欄に
dummyが挿入されました。

3　data.cgiの素データです。
-------------------------------------------------------
20061006133004,山田一郎,yamada@ichiro.com,10,08,,これはテスト登録です。バッファにはメルアドはdummyと表示されます。
----------------------------------------------------
正しくメルアドが記録されています。お互いにメールを交換したいことも
ありますから、表上の登録者一覧を押すと、一覧表の中は、登録した正し
いメルアドが、データからメーラに自動挿入されました。

以上です。
***************************（長文愚考の段お許しください）
次のような運用上の対策が考えられます。
1）通常、メルアドのセキュリティ対策は
1　公表してもよいメルアドを使い
2　私を中心にして私の家族、親戚、知人の範囲内で使うメルアド
　 は、掲示板などでは使用しない
ように、2つのメルアドを取得し（今の公表されたくないメルアドに
ホットメールなどのアドレスを追加し）、それらを使い分けることで
しょうか。

掲示板や類似した誕生日ソフトの管理人は、ウェブページで
1　メルアドは、原則としてセキュリティ対策のため書かないでください。
2　公表してもよいメルアドをお持ちの方は、登録してください。
などの依頼文を書く必要があるかもわかりません。貴birthday.cgiでも、
1　登録をしない　2　ウェブメールを使う　3　プロバイダ供給のメルアド　
と利用者が使い分けておられるようです。

2）検索結果などからメルアドが表示されないようにするには：
すえぽんさんの作品を、でんちさんがインストールされますと
きは、セキュリティ上、ファイル名を変更してインストールさ
れますことをお勧めします。birthdayの検索でヒットするのを
避けるためです。
例■ 原作どおり
$script = "http://127.0.0.1/~user/birthday/birthday.cgi";
　□ ファイル名変更
$script = "http://127.0.0.1/~user/birthday/Uv9Pl14fZ.cgi";
Uv9Pl14fZ　などという検索語を日常使われる英文字の連鎖から生
成することは、ほとんどできません。もちろん、html文の呼び出し
文にファイル名が記述されていますが、スパム一通だすのにそこま
でしていては、英語で言う It doesn't pay. 割りに合わない
商売のような気もします。

3.1）このような対策が、サイト管理者に必要になってきたのでしょうか。
birthday.cgiの歴史とその後のインターネットの変化によるもの
と思います。
--------------------------------------
# birthday v.3.03（フリーソフト）# Last Modified:2002/11/19　
# Copyright (C) 2000-2002 suepon , All rights reserved.
---------------------------------------
↑上の著作権表示から、このフリーソフトは、googleのようなサーチ・
エンジンが急速に発展する時期にほぼ一致しています。ご利用のYahoo
検索も、2000年にgoogleを公式のサーチ・エンジンに採用し、後には少
なくともアメリカ（USA）で、主客が逆転して2005年に47％がgoogleの
シェアになっています。日本ではyahooが50％といわれます。

3.2）さらに、大きな変化で、常時接続という利用者が増えています。
インターネットつまりプロバイダーのサーバ（24ｈ7d/week)だけでな
くて、個人のコンピュータ内のファイルを検索するdesktop searchが
2004年ごろから可能になっています。このような1秒の途切れもなくア
クセスができる状況下で安易にメルアドをいろんなところで書くこと
や結果的に収集保存することには、慎重にならずにはおれません。

グリム兄弟が採録した童話に森の狼の話がありますが、赤い頭巾
（メルアド）を少女に被せて狼の群れの中を歩かせる危険は、今も
当時と同じであると思います。
このように急速に変化する中で、牧歌的なウェブライフを楽しむ
ことは大変困難であるばかりか、不当な攻撃の対象や、さらには
運営するソフトによって間接的に加害者の立場になるかもしれま
せん。登録してその結果予想できる危険を利用者によく分かるよ
うに、定期的に警告するなどして、善意の限界と危険の防止を管
理者、利用者が考える時代になっているのでしょうか。ほんの少
し前に（only yesterday)サイト作りに取り組めた無邪気さ（
innocence)が、無性に懐かしくなります。

今後も新たな情報がありましたら、ラウンジにて、すえぽん作品
利用者の皆さんにお知らせください。よろしくお願いします。

□ でんち [2006年10月07日12時25分]

NXerさん、ありがとうございます！

早速一行挿入にて対応させていただき、
うまく動作させることができました。

大量のメルアドを扱う時、管理人は
沢山勉強が必要ですね。

その他のアドバイスも実行させて頂きたいと思います。

どうもありがとうございました。