2009年6月7日日曜日

Googleカレンダーの「限定公開URL」という名の風穴

しばらく自社勤務であったが、7月から客先常駐の勤務となった。
プロジェクトの度に勤務地がころころ変わる。
嗚呼、悲しき特定労働者派遣事業よ・・・

セキュリティセキュリティなこの時代、自社のMyPCを持込可能な常駐先など殆ど無い。という訳で、僕はスケジュール管理には「Google カレンダー」を使用し、常駐先からも自社からも、そして自宅からも確認できるようにしている。

そのGoogleカレンダーでToDoリスト機能が追加されたとかいう情報を少し前耳にしたことを思い出したので、久しぶりに設定を覗いていると、「限定公開URL」なる項目を発見。


「注意: このアドレスを知っている人なら誰でもこのカレンダーの全予定を見ることができます。」が非常に気になったので、別のブラウザを起動して「HTML」ボタンのURLにアクセスしてみると・・・

丸見えじゃねぇか!!

仕事用なので非公開としているのに、これはまずい。無効にするような項目を探すが見つからない。調べてみると、どうやら不可能なようだ(有償のGoogle Apps版なら可能とのこと)。以下の記事で非常に詳しく解説されています。
上記記事にある「Pathtraq」というサービスの提供元による対策は済んでいる?そうなので、現時点(2009年6月7日時点)においてGoogleカレンダー使用に際し心得ておくこととして、
  1. 「限定公開URL」のページ内のリンクから他のページへ遷移しない
  2. 定期的に「限定公開 URL をリセット」を実行する
1.はリファラによる流出を防ぐため。カレンダーに他ページへのリンクを含めている場合は注意しましょう。※ブラウザの「お気に入り」「履歴」等で移動する場合は、リファラ送信されないから大丈夫。
「限定公開URL」には、20バイト長のランダム文字列を保持した「pvttk」というパラメータが含まれているので、当てずっぽうでアクセスされる確率は極めて低いでしょう。
が、ブルートフォース攻撃でアクセスを試みる輩がいないとも限らないので、念のため2.も行うようにしましょう。まぁ、Google側で攻撃検知したら遮断する等行ってくれると思いますが。

Bloggerで記事を書いているのであればGoogleアカウントを持っているということなので、Googleカレンダーを利用している方は多いと思います。注意しましょう。

ところで、某超有名シンガーソングライターが仕事のスケジュール管理にGoogleカレンダーを使用しているということを聞いたことがあるが、大丈夫なのかな?

ちなみに、当初の目的であったToDoリスト機能ですが、言語設定を英語(US)に設定しないといけないようです。
このことだけで導入を躊躇してしまう自分の英語レベルの低さには反吐が出るぜ…

0 件のコメント: