アカウント名:
パスワード:
・ウィッシュリストがデフォルトで公開であることをきちんと知らせない間抜けと調べない間抜けがいたこと
少なくとも以前は「ウィッシュリストに追加」ボタンを押しただけで、公開状態になってしまったようなので、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
2つの問題 (スコア:4, 興味深い)
・CSRFによるトラップ作成が可能だった(過去形で良いんだっけ?)こと
この二つの問題をごっちゃにしちゃいけない。
あと前者が騒がれているが、Amazonに全面的なやばさがあるのは後者だし、後者の方が性質が悪い。
前者は結構知られていて「何を今更」的な反応も多かったし、俺もそんな感じだった。
公開される情報の仕様(本名、デフォルトの作成者としての本名)の変遷あたりが追えてない感じ。
でも、どうでも良い話なので追う気もないが。
「騙された!」的な発言を見ると「ウィッシュリストとかいうわけのわからない単語を見たらヘルプをよく読もうよ・・・」とかorzな印象を抱きました。
有名blogとウィッシュリストを結びつけるのは面白かったかな。
見られたくないウィッシュリストを公開のままにした上に、公開メールアドレスと紐付けしてるのには唖然としたかな。
まあblogの中の人が有名、すなわち常に防衛しているというのがなりたたないのは経験的に明らかだったわけですが。
情報が見つからない噂
・ワイルドカード検索が騒がれていた件
・購入履歴がわかるという件
前者はワイルドカード検索が単に使えたのか、ヒットした文字列が見れてしまったのかがわからない。
後者はウィッシュリストから「購入済み商品」を絞り込むことができる件だろうか。すなわち購入履歴とは言えないわけだが。
#ウィッシュリスト絶賛公開中 [amazon.co.jp]。誰かなんか買っておくれよぅ。
妖精哲学の三信
「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
Re:2つの問題 (スコア:3, 興味深い)
高木センセイの日記に詳しいですが [takagi-hiromitsu.jp]、少なくとも以前は「ウィッシュリストに追加」ボタンを押しただけで、公開状態になってしまったようなので、ユーザが悪いというのはどうかと思います。
あのわかりづらい機能を使うと原則公開になるというわかりづらいUIはamazonに責任があるのではないかと。
Re: (スコア:0)
Re:2つの問題 (スコア:2, 興味深い)
(一例)
名前,アドレス欄
*.go.jp
*090*.ne.jp
admin@*
*株式会社*
住所欄
東京都*
*1* ←都道府県名に番地まで入れてしまっている人が多数存在
本名,有効なメールアドレス,所在地[,職業,趣味]をセットで簡単に(~数十万件くらい?)ゲットだぜ!
Re:2つの問題 (スコア:2, すばらしい洞察)
Re:2つの問題 (スコア:2)
・ニックネームに本名を書いていた間抜けと,ニックネーム登録欄に「氏名」と書いていた馬鹿がいたこと
・ウィッシュリストの送信先に自宅の住所を書いていた間抜けがいたこと
amazonのアカウントの登録名と配送先の登録は全くの無関係ですが,
amazonのアカウント登録時に「氏名」と書かれている所に入力した内容が検索条件になっていたため,
そこに本名を書いていた人が引っかかったわけです。
実際は,この「氏名」欄には,偽名でもニックネームでも構わなかったわけで。
そして,住所も「公開されます」と書かれているのに登録していた人がいたわけで。
その場合,都道府県検索から,綺麗に住所まで見えてしまったという。
Re:2つの問題 (スコア:3, 参考になる)
>・ニックネームに本名を書いていた間抜け
アカウント登録名に本名を登録するのは当然だと思うが、
「ウィッシュリストに追加」ボタンを押すと、自動的にウィッシュリストが作成されて、
そのニックネームはアカウント登録名がコピーされて作られるようになっていた。
そのため、ウィッシュリストのニックネームに本名が設定された人が続出した。
>・ウィッシュリストの送信先に自宅の住所を書いていた間抜けがいたこと
初期の頃に「ウィッシュリストに追加」ボタンを押した人は、
自動的に登録住所がウィッシュリストの送付先に登録されるようになっていた。
>amazonのアカウントの登録名と配送先の登録は全くの無関係ですが,
>amazonのアカウント登録時に「氏名」と書かれている所に入力した内容が検索条件になっていたため,
>そこに本名を書いていた人が引っかかったわけです。
>実際は,この「氏名」欄には,偽名でもニックネームでも構わなかったわけで。
「ウィッシュリストに追加」ボタンを押した人は、ウッィシュリストが作られたことさえ気づかないままな人が続出した。なぜなら、ボタンを押した後でリストは表示されないから。
そのため、アカウント登録名の他にニックネームなんてものがあることさえ気づかない人が続出した。
(気づいてニックネームを変更した人もいたけど、一部だった。)
>そして,住所も「公開されます」と書かれているのに登録していた人がいたわけで。
「ウィッシュリストに追加」ボタンを押してウッィシュリストが作られたことさえ気づかなかった人は、「公開されます」という文を一度も見ていない。
Re: (スコア:0)
*gmail*とか*biglobe*を試してみたのですがばっちりアドレス見えてました
Re: (スコア:0)
ほしい物リストのメールアドレス検索で*@gmail*というふうに検索できていた。
また、メールアドレス「@」住所「*1*」で(ry
トラップについても、comはウイッシュリストのidが必要なのでjpのような事はないらしい。
ログオフの方法やほしい物リストデフォルト公開、しかも非公開設定はリストを作らないと
できないなど、アマゾンの考え方はおかしいと思う。
Re: (スコア:0)
煩わしい規約なんか読まなくてもいいでしょ。
#私も作っちゃいました [amazon.co.jp]
Re: (スコア:0)
お前って想像力が超ないな!
ウィッシュリストが、ユーザーが作らなかったらできないってんならともかく、
アカウントがあれば氏名と紐付けされた空のリストが勝手に作られるんだぜ。
サービス開始前に1回だけ買い物するためにアカウント作って2度とamazonを訪れなかった
人だけでも相当な数だろ。
キモオタ以外は毎日amazon眺めてるわけじゃないんだ。
Re:2つの問題 (スコア:1)
妖精哲学の三信
「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
Re: (スコア:0)