• アマゾン「自分がほしい物リスト」　全部公開されて大騒動

この種のオンラインツールは他者に公開されるものかどうか、公開されるとして非公開設定が可能であるかは調べた上で使うのであまり気にしたことはなかったし、随分前からある機能だから何故今更騒ぎになってるのか良く分からないんだけど。
ただ、日本の場合ウィッシュリストが欧米ほど*1本来の目的で使われていなかったであろうことは容易に想像がつくので、

1. デフォルトが公開である
2. ステータスが公開であることが分かりにくい

ってのは不味かったかも知れんね。おまけにサイトの性質上、表示される場所に個人情報がそのまま入ってる人は多そうだ。

というかそんなことよりも、URL踏ませてウィッシュリストを公開・非公開に関わらず特定のメアドに転送するトラップが出てきてるらしいけど、つまりこれはCSRFだよな？こっちの方がずっと問題じゃねぇか。前からあったんだろうけど、今回の件で広く露見してしまったような。

踏まない以外の対策としてはサインインしっ放しにならないようにしておかないと…って、明示的にサインアウトするページないじゃん。こんな裏技みたいな方法じゃなくて、画面上にちゃんと用意しなさいよ。