カテゴリ:fg問題, フィギュアとか

こみっくトレジャー20&COMITIA101販売物"|Syndicate this site(XML)|fgがおかしい!〜その3〜"

fgがおかしい!〜その2〜

「その1」では現fgが孕んでいる一般的な問題点について述べ、「しかしこれらのことは実は自分が現在もなお憤っている本当の理由ではなかったりします」と締めくくりました。
ここからは空条さんが現fgに対して最も怒っている問題点、個人的に絶対に看過してはならないと思っている点について、その前段とでも言うべきお話です。

最初に言っておきますがここからのトピックは時系列がとても重要です。現fgで何が起こっているかを掴みかねている人はたいていこの時系列を見誤っているのが原因だと言っていいでしょう

当初3月17日と謳っていた現運営クロメアによるfgのリニューアルオープンはその前日16日に「デバッグ作業工数見直しの為」を理由に17日11時まで延長。
ソース
が、17日未明「デバッグ作業により予期せぬ事象が発生し、作業の工数見直しが発生した為」リニューアルオープンは「3月中」を目処とする未定延期に。
ソース

このリニューアル工事に先立ち旧fgでは2月末をもってランキングが凍結されていました。
あるユーザーがシステムの穴を突いて不正にスターを投じる方法を公開し、剰え自身のTwitterでその方法を暴露したためやむを得ずとった措置です。

これからスターのシステムに課金を行うと発表した矢先の事件だったこともあり、取り返しのつかないことになる前に脆弱性を明るみにした当該ユーザーを評価する声も一部にはありましたが、自分としてはこうした善意のハッキングに準ずる行動を起こす場合はまず迅速かつ秘密裏にシステムの脆弱性を運営者に指摘し、全ての資料が当事者間以外の誰にも漏洩しないことに全責任を負うべきだと思っています。
それを相手が黙殺したのならともかく、返答も待たず訳知り顔で実行に移し、かてて加えてその方法を全世界に発信してしまった時点で自分の中での彼の評価は単なる愉快犯で確定しました。残念で嘆かわしいです。

このランキング停止を決断した際、運営はスターとランキングをfgの「根幹を成すシステム」であるとの見解を明らかにしました。この時点では自分もその考えに異論はなかったし、事情が事情だけにランキング停止もやむなしと思いました。
今にして思えばこれこそがクロメアfgに目に見えて大きな暗雲が垂れ込める最初の瞬間だったわけですが…。

それから約一週間後の3月7日、新システムへの移行作業を名目として旧fgは一時閉鎖。当初の予告どおりなら10日間で済むはずだったこの閉鎖期間は結局20日以上に及び、リニューアル完了まで閲覧することさえできない状態となりました。
仮にDB移行作業があるとしてもその期間の閲覧そのものを止める必要はないように感じた(そもそも新システムへの載せ替えなんて長くても1日あれば済むような気もする)のですが、ここでクロメアの技術力をとやかく言ってもはじまらないので割愛します。

そんなこんなで「3月中」の予告も華麗に破って4月1日未明、散々待たせたfgリニューアルオープンが遂に実行されました。
しかしこのオープンもDNS浸透待ちのためオープン宣言から約1〜2時間の待ち惚け。ようやく漕ぎ着けたオープンすらすんなりとはいかないあたり見事としか言いようがありませんでした。
リニューアルまでサイト閉鎖してたんだから普通に考えればその間にドメイン移管しておけたと思うんですけどね。謎です。

やっとオープンした新fg。喜び勇んでログインしてみれば…IEでは何がなんだかわからないレベルでレイアウトが崩れていたり、それ以前になぜかBASIC認証のウインドウがポップしたりとそれはもう散々なありさまで、この状態を措いてなお迅速に修正すべきだったバグとは果たして存在しうるのかと首をかしげるほどの…なんというか「稚拙」とかそんなチャチなものじゃ断じてねえ惨状が繰り広げられました。
当然この日を首を長くして待っていたユーザーは阿鼻叫喚。苦情を入れようにもどこから突っ込めばいいのかわかりません。
こんな開発技術レベルですから旧fgのデータ統合も当然失敗。結局旧fgは「リードオンリー」として今日もなお残り続けているわけです。どうせ残しておくならなぜわざわざ3週間以上も閉鎖したんでしょうか。謎です。

それからの数日は正直よく覚えてません。
ただ一つだけ、「もうあの頃のfgは戻ってこないんだ」という絶望感が忘れたくても忘れられないほど強く刻み込まれたのは確かです。

4月3日。
それでも自分たちヘビーユーザーがバグを洗い出し辛抱強く改善要求を出し続けていけば少しは前進するだろうと死んだ魚のような目で新fgを眺めていると、新着にある投稿のサムネイルに付与されたalt属性が「サイト内で生成された管理用ファイル名」ではなく「投稿者がアップロードした際につけていたローカルのファイル名」のままであることに気づきました。
さすがにそんなことは有り得ないだろうと思って画像のURLを確認してみると、アップされた画像のURLはなんと"yyyy(年)/mm(月)/ローカルのファイル名.jpg"となっていたのです。

fgに投稿する時、大抵の人は自分で順番がわかりやすいように「01.jpg」〜「10.jpg」といった感じでリネームしていると思いますが、つまりこの仕様では2012年4月いっぱいは「01.jpg」は一番乗りで使った誰か一人しか利用できないことになります。

それだけではありません。
システム側で管理用にナンバリングするのは「万が一にもファイルの取り違えが起きないようにするため」で、不特定多数がめいめいに、1バイト文字か2バイト文字かさえもまちまちな書式のファイル名でアップしあう環境でローカルのファイル名そのまま使うなどもってのほかです。2バイト文字のファイルをアップした場合、サーバ側の仕様によってはディレクトリ丸ごと削除しなければそのファイルの削除自体ができず半永久的にゴミファイルとして残り続ける危険さえあります。
そして最悪、このシステムによればファイル名のバッティングから他の投稿の画像が不慮の上書きで失われるおそれがあるばかりか、悪用すれば特定の投稿の画像を決め打ちで上書きして乗っ取ることさえ可能なのです
方法は簡単。乗っ取りたい画像と同じファイル名で新規投稿するだけです。
ちなみに旧fgでの画像ファイル名生成ルールでは"image/org/xxx(作品番号の上3ケタ+1)/org*****(作品番号)_n(0〜9の1ケタの番号。このまま画像リストの並び順になる)_yyyyyyy(全体での通し番号).jpg"と、複数の条件を並列で用いて生成することで万全に管理されていました。なぜこの仕様を継承しなかったのか甚だ疑問です。
リニューアルと同時のタイミングで旧fgの投稿データを統合しそこない、リードオンリーとして旧fgを残さざるを得なくなったのもこの仕様を継承しなかったため一括管理できなくなったことが大きな理由でしょう

もしも本当に乗っ取りが可能なら、これは画像投稿型SNSでは致命的なバグ。さっそく検証のため「ファイル名管理状態の検証・1」「ファイル名管理状態の検証・2」という二つの投稿を用意し(現在は削除済み)、互いの投稿の間で画像が上書きされる現象の再現を自家的に実証。
さらに協力者を募ったところ、自家的なものに限らず第三者による投稿画像の上書きも可能であると4月8日に確認するに至りました。
この日、これを証拠として運営に以下の文面で改善要望を提出しました。

http://fg-site.net/members/306のギャラリー「ファイル名管理状態の検証・1」のサムネイル画像が第三者によって上書きされているのを発見しました。
現在の仕様では不可能かも知れませんが()、少なくともリニューアルオープン直後から仕様変更までのファイル名管理方法で投稿された作品についてはごく簡単な方法で他ユーザーの投稿作のサムネイルを乗っ取れることになります。
ファイル名管理状態の検証・1」「同・2」はバグの検証のための投稿でしたので、画像を上書きしたユーザーは善意の第三者、バグ検証の協力者であると認識しており、責任を追及したり処分を求めるつもりはありません。
また、この不具合を認識していながら現在もなお仕様変更に関して具体的な発表を行っていない運営様にも責任を問える権利はないと考えております。 まずは早急にこれらの不具合を公表し、仕様変更前の画像についてどのように保障されるのかを明確にしていただきたく存じます。

※:検証開始と同時に運営にはファイル名の不具合を報告しており、この時点ではシステム側でユニークナンバーが割り振られるよう仕様が変更されていたが、仕様変更前に投稿されたものには当然遡及せずローカルのファイル名が与えられたままだった。

これに対する以下の返答が翌日の4月9日。

 ヲ 様

平素はfg/cgをご利用頂きまして誠にありがとうございます。
またこの度は、ご迷惑をおかけしており大変申し訳ございません。

複数お問い合わせいただいております件に関しまして
恐縮ではございますが、まとめて返答させていただきます

●不具合全般の報告について
貴重なご意見承りました
スタッフ一同真摯に受け止め、検討を行い修正・改善に努めさせて頂きます。

●サムネイル画像の第三者による上書きについて
現在修整対応中となっております。
申し訳ございませんが修正までお待ち下さいますようお願い致します。

β版ということもあり、使いづらい印象をお持ちになることもあるかと思いますが
何卒ご理解のほどお願いいたします

fg/cg運営
-----------------------------------------------------------------
フィギュアコミュニティサイト fg  http://www.fg-site.net
3DCGコミュニティサイト    cg  http://www.fg-site.net

Copyright(C) entersphere / Cromea All Rights Reserved.
-----------------------------------------------------------------

さっきも言ったようにこれは画像投稿型SNSで絶対に起こってはならない深刻な不具合のはず。この文面でわかるように自分は不具合の修正と同時に運営の透明性向上も求めていたつもりなんですが、ご覧の通りクロメアはその点については返答せず、fgサイト上でも今日に至るまでこの不具合について修正の事実はおろか存在自体についてもはっきり言及しておらず、事実上このバグは闇から闇へ葬られています。
しかし仕様変更前に投稿された作品が今もこの脆弱性を抱えていることに違いはありません。リニューアル直後の当該期間に新規投稿した覚えのある人は一度自分がアップしたすべての画像をチェックしてみた方がいいでしょう
「聞かれれば答えるけど自分からは不都合を公表しない」。隠蔽体質の典型ですね。

自分としてはサイトの出来の悪さまではまだギリギリ苦笑いで済ませられたのですが、この対応でクロメアに対する不信感は最高に達した…つもりでした。

まさかあんな事が起こるとは。
続きます。

カテゴリ:fg問題, フィギュアとか