読者です 読者をやめる 読者になる 読者になる

Webサービスを作って潰すのが趣味な人のブログ

とりあえず作ってから怒られよう

【Disqus】プライベートなサイトで使うのにDisqusは向いてません、外から誰でもコメントが覗けます

Webサービス ブログ 失敗談

はてなブログなのにDisqusネタを投稿しちゃうおじさんだ~れだ?そう、ktだね!

 

 ※この記事はブログ移転に伴って再投稿した記事ですm(_ _)m

 

Disqusを導入しているブログが沢山あります。格好いいですもんね(*´∀`) かっこいいんだけど!!Disqusが!!「オープン コメント システム」だって気づいてない人が居るみたいなので啓蒙の意味も含めてメモメモ

 

おじさんが一体何を心配しているかって言うと「部外者に見られたくないプライベートなサービスにDisqusは入れちゃダメだよ!」って事です。ダメゼッタイ

 

プライベートな環境とは

PRIVATE

 

  • 公開していない企業サイト
  • スタッフ専用ブログ
  • 公開しつつもコメントが一部の人にしか表示されない設定になっているブログ
  • 鍵付きブログ

 

なんでもいいんですけど、こういう他人に見られることを想定していないサービスにDisqus入れると思わぬトラブルに巻き込まれます

 

(そんな環境でこんなパブリックなツール使うやついるの?と聞かれそうですが……察して下さい。あ、今はまだないと思いますが導入するとデフォルトでDisqusがコメントシステムとして設定されるなんて業務提携も今後ありえるかもしれませんよね、うん、不可抗力)

 

なんで使わない方がいいの?

簡単に言ってしまうとDisqusのコメントは「誰からでも読めます」そのブログでコメント欄を封鎖してようが、ログインしないと非表示にしてようが関係ありません

 

 

「Disqusを使っている=誰からでも見られる」

 

 

という事を覚えて帰って下さい。これを覚えてもらったらおじさんはもう心残りはないよ:D

 

 

いまいちよくわからない人のために例を一つ

  1. 企業Aが非公開でスタッフオンリーが使えるブログを作成
  2. コメントシステムにDisqusを導入
  3. そのブログ自体へのアクセスはパスワード認証があるので部外者は出来ない

さてさて、この状況だとパスワードを知らない外部の人間がコメントを読むのは普通は無理ですよね?開発者からしても読まれる事を想定していないと思います

 

しかし!Disqusだと普通に外からコメント読まれちゃうんです、隠すことは出来ません

 

どうやって読むの?

blog.3oku.net

この前紹介したWidgetコードを使います。一例としてDisqusを導入している有名サイト「WebCreatorBox」さんの最新コメントを10件ほど表示してみたいと思います。

※例として挙げさせていただいただけですのでうちとは何も関係性はありません

 

↓クリックしてみてください 

http://wcbox.disqus.com/recent_comments_widget.js?num_items=100&hide_avatars=0&avatar_size=32&excerpt_length=1000

 

仕組み

もうわかっていると思いますが、このURLの「***.disqus」の部分をコメントを読みたいサイトのIDに変えれば誰でも勝手に他人のコメントを一覧で取り出すことが可能です

 

IDの推測に関しては直接覗けるならソースコードを見れば一発だし、多くのサイトがURLや自分のIDと統一しているのでなんとなく当てることもそう難しくないでしょう

 

外部サービスを利用する場合はきちんと調べないと思わぬ怪我をする可能性がありますので気をつけましょう

 

またね~