2021年5月1日: 記載内容をより正確にする目的で、一部の内容修正を行いました
「ずさん」って漢字で「杜撰」って書くのね。漢字見ても読めないや。
物事の行い方がいい加減だという意味のこと
まず、言葉の意味の認識合わせを。
Candfansというサービスについてのお話
Candfans と CandFans どっちが正式名称なの?ここでは Candfans に統一する。
もくじ
1. すぐに見つかるCandfans解説ページにある虚偽PR
2. 投稿した写真等は、アカウントを削除しても消えない
3. 消えない写真・動画のURLに、Candfansでの設定は関係ない
4. 運営会社、そしてサービス開発陣へ
5. Candfansを始めようと思ってる人、始めかけの人へ
言いたいことは Candfansを使ってはいけない ということだけ。
1. すぐに見つかるCandfans解説ページにある虚偽PR
あるユーザーのページを知るとともにCandfansの存在を知った。
俺は職業柄もあって、新しく触れるサービスについて、自分1人で調べられることを調べたり、試してみたりする。それはCandfansだからではなく、初めて知ったサービスに対して大体いつもやっていること。いつもは、ふーん、で終わること。ただ、今回は扱ってるコンテンツがコンテンツだし、すぐに杜撰な点に気づいたため、いつもより深めに調査した。
- Candfansを知る
- 自分のアカウントを作成する
- 課金したらどうなるのかを知る
- 杜撰な点に気づく
- 運営会社を確認する
- 調査を深める
こんな流れで。自分の観点で気になったところを確認する目的で、Candfansを知ってからたぶん述べ2時間ぐらい。
それでわかったことをここに書くため、Candfansを説明しているページを探そうと初めて調べて見つけたのがこれ。ググって1ページ目、公式のサイトの直後あたりに出る。おそらく多くの人が、Candfansとは何かをここで知るだろう。
はい。俺も今日見つけて読んだので、一緒に読む感じでみていこう。
はいはい。ページの内容を信じてみようか。
確かにこの手のサービス、日本産のものは珍しい。
運営会社はこちら。
OG情報がないね。コーポレートサイト制作者がOG情報用意しないなんて、製作者・制作会社も会社の責任者も「ど素人ですか?」「やる気あるんですか?」って思わざるを得ない。かつ、こんなページをコーポレートサイトにおそらく2年以上放置しているような会社だ。
初見で、悪い印象を持つしかない要素がいっぱい。※2022年4月21日時点
サービス利用者、それがコンテンツ提供側・コンテンツ購入側に限らず、運営会社のことを調べてから使う人はおそらく少数派に入るんじゃないかな。運営しているのはこんな会社ですよ、と、ざっとわかった。その上で、この説明を見てみよう。
間違ってるよ。訂正すると、こうかな。
いい加減さ際立つ会社が運営しているサービスでして、キャンドファンズ(Candfans)は基本的に信用できず、様々なリスクの考慮を要する、ITリテラシーのない方は絶対に利用すべきでないサービスです。キャンドファンズ(Candfans)では、入会中のファンクラブを退会しても、退会するまでに視聴できたコンテンツはいつまでも視聴できる方法があるので、最新の投稿をすぐ見たいわけではなければ、毎月定額を払わず、半年や1年に1回だけ金を払って使うと安上がりです。また、課金しなければ視聴できない写真や動画を、簡単にフル公開できます。
課金しなければ視聴できない写真や動画を、簡単にフル公開できます
これについては後述。
次。
メッセージのやりとりは、確かにできなくなるな。でも、解約しても、ある手順を踏んでおけば、いつでも画像や動画コンテンツも見ることが可能 だ。
2. Candfansに投稿した写真等は、アカウントを削除しても消えない
自分は視聴目的でアカウントを作成。そして提供者側が有料としているあるコンテンツを見たく1ヶ月のサブスクに金を払った。その上で色々気になったところを確認し試してきたので、これまで書いてきたことを知ることができた。なので予想していたのだが、一応確認し、やはり予想通りだった。
自分は、ユーザーIDを x5gtrn としてアカウントを作成した。そして、ひとつ写真を投稿した。
有料コンテンツを視聴するためにはアカウント作成が必須。だが、メッセージ機能の利用や有料コンテンツの視聴を求めていなければ、ゲストユーザーという扱いでCandfansのページを見ることができる。
ゲストユーザーがログインなどせずに、ユーザーID x5gtrn のCandfansページ、つまり https://candfans.jp/x5gtrn を開いた時のものが下のキャプチャ。
MacのFirefoxで開いて、投稿した画像を右クリックした時のもの。右クリックして表示されるコンテキストメニューに 画像を保存 といった項目がない。単純に画像保存を防ぐなら、1番最初かつ必ずやる対応はされている。なので、スマホの普通のブラウザ、SafariやChromeで画像を保存することは不可能。PC/Macでも、保存できる画像のように右クリックから保存できないのは同じ。
アップロードしたのと全く同じ写真がこれ。
さて、自分のアカウントを削除した。その後、自分のページ、 https://candfans.jp/x5gtrn にアクセスしてみたらこうなる。
うん、アカウントは削除された模様。RedirectしてURL変えるなよ、などツッコミどころ色々あるのだが、少なくとも、先に貼ったスクショのようにページを見ることは不可能になった。
が、削除したアカウントでCandfansに投稿した写真は、消えていない。投稿した写真はここにある。
この写真を投稿し、アカウントを削除したのは、このエントリを書いている前日。つまり夜間バッチなどで消す、といったこともしてないようだ。もし↑のURLの先が見えないのなら、Candfansの開発陣が、ちゃんと対策をしたのだと思う。ちゃんとの度合いは謎だが。そもそもこのURLを見て「あ、おそらくこのシステムだめだめだ…」と思ったのがこのエントリを書くきっかけになったのだけれど。
Webに関することを仕事にしているなら基本中の基本知識、全く知識がない人でも知ってしまえば何も難しくはない簡単な方法で、ブラウザから保存できないようにしていた画像そのものの場所(URL)を見つけることができる。そこに直接アクセスすると、写真なり画像なり動画なりを見れるよ。
3. 消えない写真・動画のURLに、Candfansでの設定は関係ない
課金しないと見れないようにしているコンテンツのURLを知るためには課金しなきゃいけない。でも課金して見ることができるようになれば、スキルじゃなく知識のレベル、手順知っていれば簡単に、課金して視聴できるようになった写真なりのURLを知ることができる。Candfansで有料コンテンツとして一般に非公開してたかどうかに関係なく、そのURLはファイル実体の場所を示すもので、そのURLをばら撒けば誰でもその写真なりを見ることができる。それを保存したらもうその人の所有ファイル、それをどっかにアップロードするなり何でもありだ。悪意を持った誰かが厄介な場所にそれを公開すると、もう2度とネット上から消すことができず、これからずっと残り続ける。そう考えるべき事態になる。望まない事態なはず(これはCandfansに限らずネット上に一度上げたものは消せないと考えた方が安全)。
また、写真なりコンテンツのURLを1つ見つけられたら、全てのURLを知り全てファイルとして自分のPC/Macにダウンロードするまでも難しくはない。
前回書いたこのエントリの流れで、Candfansに投稿されている写真取得のためのコードを書いた。それはただの、テキストファイルの中から条件に一致する一部を抜いてくるだけの検索を行うプログラムだ。元ファイルと検索対象URL等条件を少し変えればInstgramやTwitter、Facebookでも機能する。当然ハッキング的行為でもないし、アメブロに対してやったスクレイピングでもない。アメブロのエントリの内容をとってくるのは難易度が高く時間がかかりそうなので途中で方針を変えた。対策されていたからだ。それについては「ブログサービスにここまでするのか…」と思ったものだが、Candfansは逆。サービスの内容に相応せず、対策してなさすぎ。
あまりに簡単だということで、自分がやった方法を公開しておく。マジックナンバーだらけな雑なコードだが30分もかからず書けた。ユーザーIDは自分が決めた文字列と一致する形で、ひとつひとつ数字が割り当てられている。ちなみに、自分が作成し削除した x5grtn のユーザーIDの数字は 355140 だ。↑のGist先のJavaで書いたものが理解及び実行できる知識があるのなら、対象のユーザーIDの数字がわかれば、ものの数分で全ての写真や動画のURLを知ると同時にその全てをダウンロードできるだろう。繰り返すけれど、それが課金した上で視聴できている限定公開コンテンツであっても、既にアカウントが削除されてページが存在しなくなっている場合でも、だ。
4. 運営会社、そしてサービス開発陣へ
リニューアル中で不具合発生しやすいと表示されていたな。
今ここに書いたことはリニューアル中とか関係ないものだ。やりとりしたくもないし、俺はわざわざ運営にこの内容を報告しないよ。ここで指摘した内容はバグじゃないからな。設計力というのか設計思想というのか、まずそれがだめ。そして、だめと気付ける人が開発陣にいなかったのか、だめだと指摘して改善しようとしても何らかの圧力や理由によりできなかったのか…。どちらもありえる。ていうか既知の可能性も十分ある。いずれにせよだめ。責任者は代表ら役員になる。もしこのエントリを見つけて、何かしら改善されるのは喜ばしいことだ。が、これはもう俺の思ったままを率直に言うんだけど、そもそも、少なくとも、今のあなたがたは、生半可な技術力と想像力で、 とてもセンシティブなコンテンツを扱うサービスなのに問題がある設計のままリリースした後今までに至り 、あからさまにひどいマーケティングで広め、そのつもりがない人々に大変困る事態が起こり得ることをさせている。俺が今書いたことを単純に対応しても、それでシステムがいくらかよくなったとしても、根本的にあなたたちは変わらないだろう。なので、消えてほしい。
とはいえ改めて調べてみると、かなり多くのユーザーがいて、それだけで食ってけるぐらい稼いでいる人たちもいる。Candfansというサービスがなくなれば困る人も多そうだ。俺はCandfansのコンセプト、それで実現できていること、それらを否定する気はない。風営法の届けも出しているみたいだし。価値あるコンテンツを持つ人がそれでマネタイズできるのはとても良いことだ。だが関係者の人、これを見た時にまだ未対応なら、せめて 削除されたアカウントに紐づくS3にあるファイルを全部削除しようよ 。そして、せめて 年齢確認をちゃんとした方法で行おうよ 、全ユーザーに対してだ。実際は18歳未満のユーザー、たくさんいるよな、当然インターネットに関するがなくて知識の層だ。何やってるかわかってないんだ。ちょっとしたノリかなんかで写真を投稿している女子高生もいるだろうし、遊び心で自分の動画を投稿していたが気持ち改めて既にアカウントを削除した女子中学生もいるだろう。彼女たちはまさか投稿したファイルが、限定公開だったにも関わらず、アカウントを削除したにも関わらず、ずっとネット上にあり、URLが生きていて、堂々と保存して手元に集め持ってる、なんて思いもしない。そんなことになっていたと知るのは、もう手遅れな悪い状況になってしまった後だ。そういったことを野放しにし、かつ増え続けさせてしまう今の状態であることを、わからなかったとは言わせない。
GitHubの、Repositoryの設計の一部(PublicとPrivateの違い)を参考にすべきじゃないかな。それぐらい新たにしたなら、また名前変えてやったらいいと思うよ。
なので次の項。
