debiruはてなメモ

はてなブログの HTML が Invalid なの、わたし、気になります

【14日目】フォームに文字数制限を付ける理由を問い合わせた件

まえがき

今日はフォームに文字数制限をつけている意味を問い合わせてみた件。パスワード文字長ではなく、問い合わせ本文の文字長(400文字まで)のやつ。

某ソシャゲ様

この問い合わせ本文の文字数制限をしているのはどういう理由ですか?

本件につきまして、スパムや悪意のある攻撃からの対策として文字数制限を設けさせていただいております。お客様にはご不便をおかけして大変申し訳ございませんが、ご理解のほど何卒よろしくお願い致します。

よくある回答。はい次。

某署名活動サイト様

400字制限、ご不快な思いをさせてしまい大変申し訳ありません。

賛同のメッセージも、批判のメッセージもきちんと受け取らせて頂いているのですが 中には批判ですらないSPAMメール、もしくはそれに類似するものを送られてしまうこともあり制限をつけさせて頂いております。何卒ご理解下さいますよう、よろしくお願い致します。

はい次。

某大型量販店様

問い合わせたいことがありましたが「300文字以内でご記入いただきますようお願い申し上げます。」などという制限のせいで詳細な質問ができません。どうすればよいでしょうか。

この度お問い合わせ頂きました件につきまして、弊社メールフォームでのセキュリティー対応が至らず、文字数制限を設けており弊社システムが至らず申し訳ございません。また、こちらのメールアドレス ***@***.co.jp にて文字数制限なく送信可能でございます。こちらの窓口より内容により店舗責任者などに確認し返答をさせて頂いております。大変お手数かと思いますが、ご連絡お待ちしております。

代替策を教えてくれるのはよい。しかしそれなら始めからフォームなど用意せずそのメールアドレスを公開してほしい。

IPA様

https://www.ipa.go.jp/about/inquiry_index_0.html

「お問い合わせ内容」について、文字数の上限「全角400文字以内」が設定されている理由をお聞かせください。これでは詳細な報告をしたい場合に不便ではないですか?文字数の上限を設けない方が良いと思いますがどうでしょうか。

弊機構の「お問い合わせ」の文字数を400文字に設定しておりますが、これにつきましては、弊機構がお問い合わせ窓口を設けるに際し、皆様からお問い合わせを受けるにあたりまして、一般に原稿用紙1枚相当である400文字が適切な文字数であると判断しました上で、設定をさせていただいております。

また、文字数制限が無い場合や文字数の設定を過剰としている場合に、お問い合わせフォームを利用して弊機構の事業に無関係な内容や、ウイルス等不正プログラムの感染を目的としたURLを延々と表示させたり、広告宣伝等のスパム行為などを誘発する恐れなど、業務に支障が生じるリスクを考慮しまして、一つの目安として、400文字以内にて、弊機構の事業に関するご意見やご質問等のお問い合わせを頂戴させていただくこととしております。

なお、この度頂戴しました「文字数の上限を設けない方が良い」というご意見につきましては、文字数制限を見直す等、今後の運営にあたりましての参考とさせていただきます。

それから1年後。

1点目、この問い合わせフォームの文字数制限についてです。以前にも問い合わせましたが、400文字では詳細な問い合わせが書けません。制限を緩和してほしいと要望しましたが、その後検討した結果も400文字制限を付けるべきだと判断されているのでしょうか。

2点目、「脆弱性関連情報の届出受付」ページにおいて、「ウェブ届出フォームについては、公開に向けて準備中です。」と書かれていますが、本当に公開するつもりがあるのでしょうか。何年もこの状態です。脆弱性の届出に関して、今後はメールでしか受け付けないのであれば、「準備中」などという文言を削除するなど方針を明示していただきたいのですが、このような意見についてどうお考えでしょうか。

まず、1点目のご質問について、400文字制限への方針については、前回ご回答してから変更ございません。今後、外部からの攻撃の手口の変容や、問合せフォームのシステムの強化変更などにより本方針は変更する可能性がございますが、現在は長文のお問い合わせについては、複数通に分けてのお問合せをお願いしております。ご不便をおかけして恐縮ですが、ご理解の程、よろしくお願いします。

次に2点目のご質問について、公開をお待たせしており、大変申し訳ございません。現在、「ウェブ届出フォーム」については、システムを改修中で、再公開は12月頃公開を予定しています。

ご不便をお掛けして申し訳ありませんが、再公開までの間、届出については電子メールで届出頂けますよう、お願い申し上げます。

「現在は長文のお問い合わせについては、複数通に分けてのお問合せをお願いしております。」などという回答ですが、ウェブサイト上の問い合わせフォームについて、長文の場合は分割して送信しろって正気ですか。

というか、「外部からの攻撃」を考慮して400文字程度に制限することに何の意味があるのですか。400文字制限があれば攻撃されないのですか?

どういう根拠で制限をかけているのかも説明せず、正規の利用者が不便であるという意見を無視しているのはどういうつもりなのでしょう。パスワードの文字長制限しかりフォームの文字数制限しかり、何を考えて制限をつけているのですか。そのフォームの存在価値あるの?

今日のステータス

https://www.ipa.go.jp/security/vuln/report/index.html

改修中

ウェブ届出フォームを公開した場合、文字数制限を付けないと「お問い合わせフォームを利用して弊機構の事業に無関係な内容や、ウイルス等不正プログラムの感染を目的としたURLを延々と表示させたり、広告宣伝等のスパム行為などを誘発する恐れなど、業務に支障が生じるリスク」が生じるんですよね。どうなんですか?

このアドベントカレンダーは、適当な話題を書きつつウェブ届出フォームの公開を見守るものですが、この記事は適当すぎたかもしれません。

Next debiru's HINT 「ホームページいうな