【重要】お詫び:ユーザー登録機能の重要な機能の中止について
先週金曜日に『【お知らせ】ついにユーザー登録ができるようになりました!』のなかで、「ユーザー登録機能を実装した」と報告したばかりですが、さっそく、深刻な問題に直面してしまいました。当面、「ユーザー登録機能」は事実上、ストップ状態となってしまいそうです。せっかくユーザー登録をしていただいた皆さまには、心の底からお詫び申し上げます。
目次
BuddyPressの深刻な脆弱性と使い勝手の悪さ
先週金曜日、『【お知らせ】ついにユーザー登録ができるようになりました!』のなかで、当ウェブサイトでついに「ユーザー登録機能を開始した」と報告いたしました。
しかし、「パーヨクの工作員」様からのコメントによりご指摘いただいたとおり、今回、私が使用した “BuddyPress” というプラグインには、ウェブサイト攻撃者に狙われる、深刻なリスクが内在していることが判明しました(※ただし、コメント主様のアドバイスどおり、コメント自体は削除済みです)。
当ウェブサイトにユーザー登録をする際に入力を要求される項目は、次の5つです。
アカウント詳細
- ユーザー名 (必須)
- メールアドレス (必須)
- パスワード入力 (必須)
- パスワード確認 (必須)
プロフィール詳細
- Name (必須)
このうち、「ユーザー名」はログインIDを兼ねていて、しかも、ユーザー登録をしていただいたうえでコメントを入力すると、そのコメント欄の表示名がこの「ユーザー名」になってしまいます。
これが、深刻な脆弱性のポイントです。
具体的に、何が問題なのかについては、当ウェブサイトでは詳しく申し上げません。この「ユーザー名」という表記が極めて紛らわしく、かつ、問題が非常に大きいという点だけを述べておくにとどめたいと思います。
一方、「プロフィール詳細」にある「Name (必須)」という項目についても、定義がよくわかりません。
本名を入力すれば良いのか、それともニックネームを入力すべきなのか、これだとまったくわからないのです。
さらに、せっかくここで「Name (必須)」を入力して頂いても、その「Name (必須)」をコメント欄に反映することができません。
金曜日時点で複数のコメント主様からご指摘を頂きましたが、「ユーザー名」がローマ字しか入力できないこと、せっかく「Name (必須)」欄にハンドルネームを入力しても、そのハンドルネームがコメント欄に表示されないこと、など、非常に使い勝手が悪いことがわかりました。
理想は「ハンドルネーム」を入力することだが…
私自身の理想は、当ウェブサイト上、ユーザー登録し、ログインしていただくことで、ユーザーの皆様同士がより一層、交流し、議論を深めていただき、結果的にコメント主の皆様、それらのコメントを読んでいる他の読者様、そして私自身の知的好奇心を満たすことにあります。
そのためには、基本的にどなたでもユーザー登録でき、かつ、安全性が高く、しかも使い勝手が良いウェブサイトでなければなりません。
ところが、「ユーザー登録」をしていただいた皆さまならお気付きのとおり、
- ローマ字でなければユーザー名を入れることができない
- 「Name (必須)」欄にハンドルネームを入れても、そのハンドルネームがコメント欄に反映されない
- そもそも「Name (必須)」が何を意味するのかわからない
- ユーザー名、「Name (必須)」欄の上限は何文字なのかわからない
など、非常に不親切かつ使い勝手が悪い設計となっているようです。
そこで、私はユーザー登録システムを、
- 入力必須項目は「ユーザーID」と「ハンドルネーム」とし、両者は別々の文字列とする
- 「ユーザーID」はローマ字のみとするが、「ハンドルネーム」は日本語OKとし、上限値も決める
- 本名は入れても入れなくてもOKとする
- 「ユーザーID」がコメント欄に表示されることは避ける
といった具合に変更(カスタマイズ)したいと思っているのです。
しかし、これが一筋縄ではいきません。
現時点でカスタマイズは著しく困難
私は2016年7月に、ウェブ評論活動の場を、大手ブログサイト「アメブロ」に開設していたブログから、こちらの独立系のウェブサイトに切り替えました。これに伴い、大手ブログだったら運営者がやってくれるような項目(コメント欄のカスタマイズや日付表示など)を、すべて自力でやってきました。
しかし、私はもともとは「金融規制の専門家」であり、「WordPressやウェブ言語の専門家」ではありません。いや、むしろ、ほぼ素人です。このため、何か不具合が生じたときには、私はウェブサイトを検索し、似たような事例を探すことで、騙し騙し、ウェブサイトを構築してきたというのが実情に近いでしょう。
この点、WordPress自体に関して解説したウェブサイトは多く、たいていのことならば、検索すれば問題を解決することができます。
ただ、非常に残念なことに、私が先日導入した “BuddyPress” というプラグインは、日本語での解説が極端に少なく、また、いくつかのウェブサイトは「どのファイルのどの箇所を変更すれば良いのか」を明示していなかったり、記載内容自体が誤っていたりします。
(※昨日と一昨日、当ウェブサイトへのアクセスができなくなる事態が発生しましたが、それは、当ウェブサイトの根幹のシステムをいじって大失敗したからです。)
このため、先ほど申し上げたようなカスタマイズを実施したければ、おそらく英語のサイトを読みに行く必要があることに加え、実際にカスタマイズしようと思えば、変更しなければならないファイルも多数あるらしく、正直、私自身が現時点でこれをじっくり研究する時間を捻出することは、非常に困難です。
本来、ウェブサイトに充てる時間は、記事の本文を執筆することに費やしたいと思っているのですが、さすがに私自身が1人で当ウェブサイトを運営している現状で、先ほど申し上げたような変更を施すことは、非現実的なのです。
お詫び:ユーザー参照機能の一部停止につきまして
もちろん、せっかくユーザー登録ができるようにしたので、その機能については維持したいと思います。
しかし、先週金曜日にユーザー登録機能を入れたばかりですが、熟考の末、昨日から一部の機能を停止しました。
それが「メンバーの参照ページ」です。
これは、当ウェブサイトにユーザー登録している人のIDリストのページですが、さすがにこれを誰でも参照できる状態にしておくことは望ましくないので、私自身が考えた末に、 “BuddyPress” のカスタマイズができるようになるまでは機能として停止することにしました。
これにともない、お詫びがございます。すでにユーザー登録して頂いた方が、次のような機能を利用することができなくなってしまうことです。
- プロフィール写真のアップロード
- 「Name (必須)」欄の修正
- メールアドレスの変更
- 退会(ご自身でユーザー登録を抹消すること)
せっかくユーザー登録して頂いたにも関わらず、まことに情けないお話で大変申し訳ございません。
ウソをついていました
これに加えて、先週金曜日時点の説明で、2点のウソをついていたことをお詫び申し上げたいと思います。
1つ目は、「ユーザー登録して頂ければ、コメントの削除機能を使えるようになる」という説明です。これについては私の完全な勘違いで、デフォルトではコメントの削除機能が使えないようです。そして、これを使えるようになるためには、ウェブサイトの基本的なファイルを書き換えに行く必要があるのです。
2つ目は、「ご入力いただいたメールアドレスについては、管理者である私自身も知ることができない」と申し上げた点です(※パスワードについては私自身が知ることができないという点についてはウソではありませんでした)。
以上、2点については本当に申し訳ございませんでした。
(※なお、ご入力いただいたメールアドレスについては私が漏らすことは絶対にありませんし、私がそれらのメールアドレスに対して広告などのスパム・メールを打つことも絶対にありませんので、ご安心ください。)
当面の取扱い
いずれにせよ、この「ユーザー登録機能」について、当面は、次のような扱いとしたいと思います。
- ユーザー登録自体は自由とし、入力していただいたメールアドレスは事後的にすべて管理者権限にて削除し、存在しないメールアドレス(数字@shinjukuacc.com)と置き換える。
- ただし、ユーザーIDがログインIDを兼ねているという状態は望ましくないので、希望する方は別途、ハンドルネームをコメント欄かメール( info@shinjukuacc.com )にてお知らせいただき、それを管理人が手動で変更する(ハンドルネームは日本語可能)。
- スラッグ(ユーザーURL末尾)はすべてIDと無関係のデタラメな文字列に変更する。
- プロフィール画像のアップロード機能、プロフィール欄の編集機能等は使えない(※すでにアップロードしていただいた場合も、そのプロフィール画像については消えてしまいます)。
- 他人のプロフィール欄などの参照もできない。
- すでにユーザー登録をした方で、ユーザー登録の削除、メールアドレスの変更・削除、ハンドルネームの変更を希望する場合は、個別にコメント欄かメールにてお知らせいただく。
また、重ねてのお知らせですが、ユーザー登録時に個人情報を入力された場合であっても、それらの情報を私が他人の漏洩することは絶対にありません。
また、万が一、あるユーザーが不正ログインされた場合であっても、すでにユーザー登録頂いている皆さまのメールアドレスについてはダミーに置き換えていますので、この点につきましてもご安心下さい。
いずれにせよ、せっかく金曜日にユーザー登録ができるようにしたばかりですが、さっそく、昨日から一部の機能を停止していること、せっかくプロフィール画像をアップロードして頂いた方はその画像が消えてしまっていること、プロフィール画面の編集ができなくなってしまっていることにつきまして、本当に申し訳ございません。
※ ※ ※ ※ ※ ※ ※
先ほども申し上げたとおり、当ウェブサイトの「理想形」は、「読んで下さった方々の知的好奇心を刺激する知的プラットフォーム」です。
この点、現時点においては、ご自身のプロフィール画面も、他のユーザーのプロフィールについても見ることができなくなっており、「使いやすくて安全なユーザー登録機能」という点では、残念ながら現時点においては第一歩でつまずいてしまった格好です。
つまり、非常に残念な話ですが、現時点において、当ウェブサイトにユーザー登録して頂いても、メリットはほぼありません。自分自身で導入した機能の意義を自分自身で否定してしまうのは、まことに情けない話だと思います。
しかし、この点については、今後もウェブサイトを運営していくなかで、必ず何らかの形で実現したいと思います。
引き続き、当ウェブサイトのご愛読と、お気軽な読者コメントの投稿を賜りますよう、何卒よろしくお願い申し上げます。
本文は以上です。
日韓関係が特殊なのではなく、韓国が特殊なのだ―――。
— 新宿会計士 (@shinjukuacc) September 22, 2024
そんな日韓関係論を巡って、素晴らしい書籍が出てきた。鈴置高史氏著『韓国消滅』(https://t.co/PKOiMb9a7T)。
日韓関係問題に関心がある人だけでなく、日本人全てに読んでほしい良著。
読者コメント欄はこのあとに続きます。当ウェブサイトは読者コメントも読みごたえがありますので、ぜひ、ご一読ください。なお、現在、「ランキング」に参加しています。「知的好奇心を刺激される記事だ」と思った方はランキングバナーをクリックしてください。
ツイート @新宿会計士をフォロー読者コメント一覧
※【重要】ご注意:他サイトの文章の転載は可能な限りお控えください。
やむを得ず他サイトの文章を引用する場合、引用率(引用する文字数の元サイトの文字数に対する比率)は10%以下にしてください。著作権侵害コメントにつきましては、発見次第、削除します。
※現在、ロシア語、中国語、韓国語などによる、ウィルスサイト・ポルノサイトなどへの誘導目的のスパムコメントが激増しており、その関係で、通常の読者コメントも誤って「スパム」に判定される事例が増えています。そのようなコメントは後刻、極力手作業で修正しています。コメントを入力後、反映されない場合でも、少し待ち頂けると幸いです。
※【重要】ご注意:人格攻撃等に関するコメントは禁止です。
当ウェブサイトのポリシーのページなどに再三示していますが、基本的に第三者の人格等を攻撃するようなコメントについては書き込まないでください。今後は警告なしに削除します。なお、コメントにつきましては、これらの注意点を踏まえたうえで、ご自由になさってください。また、コメントにあたって、メールアドレス、URLの入力は必要ありません(メールアドレスは開示されません)。ブログ、ツイッターアカウントなどをお持ちの方は、該当するURLを記載するなど、宣伝にもご活用ください。なお、原則として頂いたコメントには個別に返信いたしませんが、必ず目を通しておりますし、本文で取り上げることもございます。是非、お気軽なコメントを賜りますと幸いです。
コメントを残す
【おしらせ】人生で10冊目の出版をしました
  | 自称元徴用工問題、自称元慰安婦問題、火器管制レーダー照射、天皇陛下侮辱、旭日旗侮辱…。韓国によるわが国に対する不法行為は留まるところを知りませんが、こうしたなか、「韓国の不法行為に基づく責任を、法的・経済的・政治的に追及する手段」を真面目に考察してみました。類書のない議論をお楽しみください。 |
【おしらせ】人生で9冊目の出版をしました
 | 日本経済の姿について、客観的な数字で読んでみました。結論からいえば、日本は財政危機の状況にはありません。むしろ日本が必要としているのは大幅な減税と財政出動、そして国債の大幅な増発です。日本経済復活を考えるうえでの議論のたたき台として、ぜひとも本書をご活用賜りますと幸いです。 |
「このため、先ほど申し上げたようなカスタマイズを実施したければ、おそらく英語のサイトを読みに行く必要があることに加え、実際にカスタマイズしようと思えば、変更しなければならないファイルも多数あるらしく、正直、私自身が現時点でこれをじっくり研究する時間を捻出することは、非常に困難です。
本来、ウェブサイトに充てる時間は、記事の本文を執筆することに費やしたいと思っているのですが、さすがに私自身が1人で当ウェブサイトを運営している現状で、先ほど申し上げたような変更を施すことは、非現実的なのです。」
は、非常によく理解できます。
貴重なお時間を割いていただいて申し訳ございませんでした。
ユーザー登録機能導入は、またの機関に為さった方が良いように存じ上げます。
< お疲れ様です、貴重な時間を割いて構築しようとしていただき、ありがとうございます。とりあえず不具合なさそうなので、今のまま使わせて貰います。
< この問題解決はずっと後で結構です。
お疲れさまです。
もしお時間があれば、「読者コメントの投稿」の説明部分
〉また、試験的にユーザー登録という機能を入れてみました…
以下の文章を修正された方が宜しいかと。
匿名のコメント主様
ご指摘大変ありがとうございます。早速修正致しました。
引き続きご愛読並びにお気軽なコメントを賜りますよう、何卒よろしくお願い申し上げます。