この日記はMozillaのプロダクトへの貢献者としての私の成果を中心に、気になったバグやWeb界隈の話題について書いていますが、 断り書きがある場合を除き、いかなる団体のオフィシャルな見解ではありません。あくまでも個人的なものです。 Mozilla Foundation、Mozilla Corporation、及び関連企業の公式情報ではないことに注意してください。

現在、XHTML 1.0 (もどき)から、HTML5なコンテンツに修正中です。古い日記は修正が完了していませんので表示が崩れます。 順次、修正していく予定ですのでしばらくお待ちください。

もずはっく日記(2006年11月)

2006年11月8日

Bugzilla-jpでの連続バグポストの件
初回投稿日時: 2006年11月08日02時10分35秒
最終更新日時: 2006年11月09日07時03分30秒
カテゴリ: Bugzilla-jp
SNS: (list)

Bugzilla-jpで同じ文面のバグ報告が3件もあるという事件があった。

普通、連続してほとんど同時にポストされたのであれば単なる多重ポストということが考えられるが、今回は最初の報告が11月2日17時1分、二回目の報告が11月7日10時34分、三回目の報告が11月7日18時0分と、最初は5日間、次も7時間30分も間が空いている。とりあえずこの時点では故意かなんらかの製品のバグなのかそれすら分からないものの、削除というメカニズムを持たないbugzilla上で本来不要なデータが増えるのは好ましくないので問題のアカウントを即刻停止した。

Bugzillaではアカウントを停止する際に、停止されたアカウントがログインしようとしたときに表示されるメッセージを指定できる。そこで、故意では無いならトラブルを改善できたらアカウントの停止を解除する旨を書いておいた。早速当該アカウントの方から連絡があり、文面や最初のバグ報告後のコメントから荒らしではなく、トラブルの線が濃厚となった。

で、そのトラブルの原因だが、拡張のSessionSaverであることが濃厚となった。bugzilla側のフォームを調査してもPOST送信なので、単純にURLを開きなおしただけでは同じ内容がポストされることは無い。だが、この拡張はそのPOSTデータを再送信してしまうようのなのである。実際に先方の方でも簡単なCGIでテストを行ったところ、無条件にPOSTデータを再送信することが確認されたようだ。そこで、Tab Mix Plusのセッション復元ではPOSTデータが再送信されることは無いのでそちらに乗り換えたとの報告を受けた。そのため、現在は当該アカウントも元に戻っている。(Firefox2のセッション復元機能もどうやらPOSTは再送しないようだが、まだ確信はない。怪しい挙動は見つけている。)

Piroさんが以前から言うように拡張は野良パッチ。このようにとんでもない「仕様」の拡張をひいてしまうと、あちこちのWebアプリケーションの迷惑になったりと、相手に与えたダメージも自己責任になってしまうので要注意。

一応、補足しておくが(ここを見るような人なら察してくれているとは思うが)、この問題、とてつもなく深刻な話で、例えば通販のサイトだったり、金銭が絡むところのPOST送信を復元してしまうと、実際に金銭的な損害がでる可能性がある。

もし、ビジネスで使っているシステム等にPOST送信が復元されてしまうと、あなたのビジネス上の信頼を失うかもしれない。

発生したシチュエーションによっては洒落にならない問題になる可能性がある。拡張の導入にはくれぐれも慎重になって欲しい。

関連するかもしれないエントリ

関連するかもしれないエントリを発見できませんでしたが、無いとは限りません。