話題にしてなかったんだけど、最近FF11ではリンクシェルコミュニティという
公式のゲーム外コミュニケーションツールができています。
http://fanzone.playonline.com/lscom/index.do
で、私はこのコンテンツ、2回しか見に行ったことがなくて、1回しかログインしたことがなくて、もちろん自分の参加しているリンクシェルには登録していません。
そこそこネットを飛び回ってる性分の私がなんでそこまで避けているかというと、サイト開設当初、このサイトの仕組みにちょっとした技術者的な恐怖感を覚えたからです。
なにに恐怖したかというと、別にLSが晒し上げになっていて恐いとか、FF11のDBにつながってるからスーパーハカーが恐いといった漠然とした恐怖感じゃなくて、もっとリアルな恐怖でした、、、以下に理由を記しておきます。
(1)ディレクトリリストが丸見えだった。
このコンテンツ、Apache+Tomcat+Strutsでできているサイトなのだけど、登場時点で想定外のURL(要するにディレクトリ直)にアクセスされると、ディレクトリリストが見えてしまっていました。
こんなの設定ファイルひとつで対策できるというか、対不特定多数のサイトには設定するのが当たり前なのに、それをテスト工程ですり抜けたなんていうのはありえない。
(2)エラーに対する対処が適切になされていないように見えた。
このコンテンツ、Tomcatのエラーメッセージがそのまま表示されてしまっていました。
Exceptionが発生した時は、少なくとも画面に素のシステムエラーが出ないように組むような設計に必ずしておかなければならないのに、、、それを一部でもすり抜けてしまうような設計にしていたというのはありえない。
Web屋の私が見た時、いっくらアクセス負荷が高かったとは言え、仮にも大規模Webサイトを作るのであれば当然やらなければならい、間違えてやっちゃったとしても最悪結合〜総合テスト工程あたりで潰しておかなきゃならないレベルの問題(つまり、飲食店がごはんの炊き方に失敗してべちゃべちゃになってて、こんなのとてもプロの出すごはんじゃない、こんなごはんを炊くんじゃ他のごはんで何があってもおかしくないんじゃない?というレベル)を表に出してしまうとはどーゆーことだ?と思ってしまったわけです。
こうなってしまった理由は2つの可能性があると考えています。
ひとつの可能性は、納期が押していてそこまで気遣う余裕がなかったこと。(いやーでもなぁ)
そしてもう1つは、Java servletの扱いに長けていない制作者が作ったということ。(やっぱこれだよなぁ...)
どちらにしても、他にかなり致命的な脆弱性を抱えている可能性があるんじゃ?と勘ぐってしまいたくなるということです。実際にその他の脆弱性を検証したわけじゃないけれど、正直、それなりに大勢のプレイヤーが見ていて、中にはブラックハットなお方も見ていらっしゃるようなサイトでこんなことしているなんて......... と震え上がりました。
おそらくこの問題が発生して数日の間には、このあたりの問題は徹底的に調べられて解消されたのではないかと思います。というのも、今現在のfanzone.playonline.comのHTTPヘッダを見るに、ご丁寧にサーバ名をしっかり隠す設定にしているようなので。上の問題を生んでしまうような○○な制作者が、こんなとこを設定するのは絶対ありえないレベルの設定がなされていたのを見て、今ならそこそこ安心して使えるのかなぁ... と思うのですが。
でも、一度でも上のようなものを目の当たりにしてしまったら、私はしばらくは恐くて使えない。
それが私の本心です(なんかこれ言いたかっただけなのかも)。
念を押しておくと、たぶん今はもう上記の問題は解決して大丈夫、のはずです。
でもって、このリンクシェルコミュニティは、たぶん本体のFF11のWebサイト制作部隊とは別に外注されたものだと思いますので、ここの作りがいかにひどかったからといって、本体のほうも同じようにひどいとは全然思いません。(こっちは普通なサイトですよん。)
なんか、このサイトはいくらで見積もれるか、そろばんを弾いている自分の姿がいやになってきたのでおしまい。
Javaオープンソース徹底攻略―Eclipse,JBoss,Tom...