世界を動かす技術を、日本語で。

ハブ・アイ・ビーン・ポーンド 2.0

2025年5月20日原文(troyhunt.com)

概要

  • Have I Been Pwned (HIBP) の新ウェブサイトが正式公開されたことを発表
  • サイト全体の機能刷新、新機能追加、UI/UX大幅改善を実施
  • 検索機能やダッシュボード、ドメイン検索など主要機能を強化
  • APIやパフォーマンスも最適化し、トラッキング等は排除
  • HIBPブランドの公式マーチストアも新設

Have I Been Pwned 新サイト公開:主なアップデートと特徴

サイト刷新の経緯と概要

  • 2023年2月 にリポジトリ初コミット、 2024年3月 にリブランドをソフトローンチ、今回正式公開を迎えること
  • サイト全体を 全面的に再構築、ほぼ全ページの機能を見直し、多数の新機能を追加すること
  • マーチストア も新設し、HIBPブランドグッズ販売を開始すること
  • サイトの雰囲気を 遊び心あるデザイン に刷新、恐怖心を煽らず、事実ベースで分かりやすく情報提供すること
  • 主要機能や新要素について順に解説すること

検索機能の進化

  • HIBPの シグネチャ機能 であるフロントページの検索ボックスを大幅に強化すること
    • 一部ユーザーに 祝福の紙吹雪アニメ を表示、利用体験を明るくする工夫
    • ネガティブ結果は控えめな演出にとどめること
  • 検索結果の タイムライン表示 を導入、各インシデントの要約と詳細ページへの導線を追加すること
  • ユーザー名・電話番号検索 はウェブサイトから廃止(APIではサポート継続)
    • 理由:解析・通知の難しさ、データフォーマットの複雑さ、ほとんどの漏洩がメールアドレス主体であること
    • 検索ボックスで混乱やサポート負荷が発生していたため、整理・簡素化を優先すること

漏洩インシデント詳細ページの新設

  • 漏洩ごとの専用ページ を新設し、検索結果が煩雑にならないよう設計すること
  • 各インシデントに対し、 より具体的な対応アドバイス を掲載
    • 例:2FAやパスキー対応サービスには専用セクション追加予定
    • NCSC(英国国家サイバーセキュリティセンター)など、 地域別ガイダンス も掲載予定
  • 今後も ユーザーや専門機関からの提案 を受け付けて改善すること

ダッシュボード統合

  • これまで分散していた各種機能(センシティブ漏洩確認、APIキー購入、ドメイン検索、購読管理、stealer logs表示等)を 一元化ダッシュボード に統合すること
  • 「Sign In」認証 でメールアドレス所有確認後に利用可能
  • 将来的に パスキー対応 も追加予定
  • ダッシュボードは今後の新機能追加の基盤とし、たとえば家族のメールアドレス通知管理等も検討中

ドメイン検索機能の強化

  • 検証済みドメインのリスト表示 を刷新し、見やすく整理すること
  • メールアドレスや最新漏洩のみのフィルタリング 機能を追加(リクエスト多数)
  • 検索結果は APIからJSON取得し、SPA(シングルページアプリ)として高速表示
  • ドメイン所有者認証フロー も全面改修し、より簡便なUIを実現
  • 非メール認証方式についても今後改善予定

APIとドキュメント

  • API自体に変更はなし、後方互換性を維持すること
  • OpenAPIベースの 新ドキュメント(Scalar) も準備中だが、現時点では旧ドキュメントをサイトデザインに合わせて提供
  • 今後、Scalarへの完全移行を予定すること

マーチストア開設

  • HIBP公式マーチストア (merch.haveibeenpwned.com)を新設、Teespringを利用し原価で販売
    • コミュニティ向けの ファンアイテム提供 を目的とし、利益は一切得ていないこと
  • ステッカーは従来通りSticker Muleの1アイテムストアを利用し、オープンソースアートワークも自由利用可能

技術スタックとパフォーマンス改善

  • バックエンドは引き続き Microsoft Azure を利用(App Service, Functions, SQL Azure Hyperscale, queues, blobs, tables等)
  • コードは C# (.NET 9.0, ASP.NET MVC on .NET Core)、フロントエンドは Bootstrap最新世代、SASS、TypeScript
  • Cloudflare によるWAF・キャッシュ・Turnstile(reCAPTCHAから完全移行)を活用
  • インターフェース設計は Ingiber (Iceland)が担当し、期待以上のUIを実現
  • パフォーマンス測定 でページサイズ28%、リクエスト数31%削減を達成
  • トラッキングや広告系のコードは一切排除 し、ユーザープライバシーを最優先
    • アクセス統計はCloudflare経由のもののみを利用、1Passwordの製品紹介も純粋なテキスト+画像のみ

今後もユーザーやパートナーからのフィードバックを受け、さらなる機能拡充・改善を進めていく予定です。

Hackerたちの意見

あなたのメールが漏洩したデータ侵害のすべてを、ロゴや説明文付きで縦にスクロールできるタイムラインで見せてくれるんだ。なんとも恐ろしいけど、ちょっと面白いね。

ちょっと無力感を感じるな。できることはクレジットを凍結するくらいしかないし。

LinkedInみたいな大きなサイトが、未処理のパスワードを保存しているなんて信じられない。現代でこんなことがどうして起こるんだろう?

現代でこんなことがどうして起こるんだろう?おそらく、誰も手をつけられないような古いレガシーシステムとか、他の統合が原因なんだろうね。大企業ほど「ビジネスクリティカル」とされるものが硬直化するリスクが大きくなるから、たった1時間の小さな障害でも、今や6桁、7桁の「失われた」時間になるからね。

面接でLeetcodeの難しい問題を十分に聞かなかったんだろうね。

AIの話がたくさんあるけど、実は私たちは何十年もアウトソーシングの問題に悩まされてるってことはあまり聞かないよね。これがLinkedInでも失敗する原因だと思う。アウトソーシング会社や彼らがアウトソーシングしたプログラマーが作る製品を扱った経験からそう言ってるんだ。強力で有能な管理者が知的な期待や要件を設定してテストしない限り、表面上はビジネスやリーダーシップの人たちにとって同等の製品に見えるものが出てくるだけで、実際にはその下に問題があるってことに気づかないんだよね。

実は意図せずにやっちゃうことって簡単なんだよね。ミドルウェアの介入として、JSONオブジェクトのパスワードフィールドは他のフィールドと同じようなものだから。どこかにリクエストボディをログするようなログ記録/トラッキング/分析があるかもしれないし。マーケティングのトリックを使わなくても問題になることがあるし、彼らの規模では不正防止システムが必要なのは間違いないよ。塩を加えていないパスワードを「パスワードデータベース」に保存するのは珍しいけど、例えばAndroidアプリのAPIゲートウェイからのリクエストログを保存して、パスワード再設定フローのpasswordフィールドを機密情報としてマークし忘れるのは、そんなに珍しくないよ。

LinkedInは一時期、連絡先を見つけやすくする名目で、みんなにメールの認証情報を渡すように圧力をかけてたからね。だから、LinkedInはITセキュリティの要塞ってわけじゃないよ。

他に誰か新しいデザインが信頼できない感じがする人いる?多分、似たようなテンプレートに慣れすぎちゃったんだろうけど、特に問題はないはずなのに、なんか偽物を開いちゃったんじゃないかって思っちゃう。

うん、同意する。この新しいバージョンは、安っぽいテンプレートを使って安っぽいグラデーションを使ってるみたいで(グラデーションをどう説明すればいいかわからないけど)、すぐに信頼性が低く見えちゃう。

そうだね。もしかしたら俺がただの頑固なおじさんなだけかもしれないけど、ウェブサイトのリデザインってマーケティング的なもので(ウェブ開発者には楽しいかもしれないけど)、ユーザーにはあまりメリットがないと思う。NASA ADSは、何年も前から素晴らしい(ちょっと古臭いけど)サイトを持ってて、クリーンで速くて機能してたのに、写真やJavaScriptで派手にするのにたくさんの時間と労力を使った結果、結局同じことをしてるだけだよね。

彼は、過失によるすべての侵害に対して集団訴訟のために法律事務所と提携すべきだね(たぶんすべての侵害がそうだろうし)。銀行サービスと結びつけて、新しい和解金が支払われるたびに何百万もの人に直接入金できるようにすれば、民衆の英雄になれるよ。過失のある企業に本当に反省させるような判決を出す弁護士を集めて、痛手を与えるんだ。(小さな和解金で弁護士が報酬を得るだけで、ビジネスを責任を持って行うよりも安く済むのは好ましくない。)オプションとして、差し迫った訴訟のデータを投資会社に売るのもありだけど、理想的には投資家はこのデータを必要としないはずだよね。だって、侵害があれば株価が下がるってみんな知ってるはずだから。それが本来あるべき姿じゃない?

Hacker Newsで議論の続きを見る