アカウント名:
パスワード:
「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった [togetter.com] のように、正規サイトの説明としてURLが「https://www.aeon.co.jp」から始まっている、などといった解説をしているサイトがあります。
しかし、これだと「https://www.aeon.co.jp.example.com/」といったフィッシングサイトを防げません。
これを、「https://www.aeon.co.jp/」から始まっている、という解説にすればフィッシング詐欺対策としては問題無さそうに思えますが、Google ChromeもFirefoxも、FQDNの後のパスが "/" のみの場合それを省略表示してしまうので、「https://www.aeon.co.jp」と完全一致ならば正規サイトであることまで
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
あまり詳しくないですが可能性のひとつとして、最初にRFC 1630 [ietf.org]とかRFC 1738 [ietf.org]を作った時にhost (authority)だけのURIは末尾スラッシュは任意としたから、とか?その後仕様はRFC 2396 [ietf.org]、RFC 3986 [ietf.org]と改訂されましたがそこら辺はずっと変わってないはず。欄をコピペすると省略されたスラッシュが出て来る側との整合性は謎ですが……。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
トップページのURLの "/" (スラッシュ) を省略するな (スコア:0)
「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった [togetter.com] のように、
正規サイトの説明としてURLが「https://www.aeon.co.jp」から始まっている、などといった解説をしているサイトがあります。
しかし、これだと「https://www.aeon.co.jp.example.com/」といったフィッシングサイトを防げません。
これを、「https://www.aeon.co.jp/」から始まっている、という解説にすればフィッシング詐欺対策としては問題無さそうに思えますが、Google ChromeもFirefoxも、FQDNの後のパスが "/" のみの場合それを省略表示してしまうので、「https://www.aeon.co.jp」と完全一致ならば正規サイトであることまで
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:0)
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。
https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。
FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
あまり詳しくないですが可能性のひとつとして、
最初にRFC 1630 [ietf.org]とかRFC 1738 [ietf.org]を作った時にhost (authority)だけのURIは末尾スラッシュは任意としたから、とか?
その後仕様はRFC 2396 [ietf.org]、RFC 3986 [ietf.org]と改訂されましたがそこら辺はずっと変わってないはず。
欄をコピペすると省略されたスラッシュが出て来る側との整合性は謎ですが……。