アカウント名:
パスワード:
「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった [togetter.com] のように、正規サイトの説明としてURLが「https://www.aeon.co.jp」から始まっている、などといった解説をしているサイトがあります。
しかし、これだと「https://www.aeon.co.jp.example.com/」といったフィッシングサイトを防げません。
これを、「https://www.aeon.co.jp/」から始まっている、という解説にすればフィッシング詐欺対策としては問題無さそうに思えますが、Google ChromeもFirefoxも、FQDNの後のパスが "/" のみの場合それを省略表示してしまうので、「https://www.aeon.co.jp」と完全一致ならば正規サイトであることまで解説する必要が出てきてややこしくなります。
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
このスラッシュの省略さえなくなれば、正規サイトは「https://example.com/」から始まります、といった説明ができるようになるので、スラッシュの省略は止めていただきたいです。
https://srad.jp/ にアクセスしたときにhttps://srad.jp/ にする必要は全くないと思うんですが。
ええスラッシュ省略するならこうですよねhttps:d.jp [d.jp](違
# これでリンクが付くのも違うやろ>srad
この例なら example.comだけ強調されない?Firefoxならそうなってるんだけど。
件の Chromeだと「www.aeon.co.jp.example.com」のみが普通に表示されるだけのはず。デスクトップ版 Chrome 86 なんで切れて後ろの方が見えないって事態は多分無い。
この点に限れば Firefox って良くできてると思う。
代替手段があるかどうかは別にして、そもそもURLを見て詐欺かどうかの判断をする要素とする事自体がおかしいんですよ勿論やらないより遥かにマシなのですがURLの文字列だけで良いのか、文字列だけで良いとしても見間違えなどは無いのか、証明書は、Whoisは、リンク踏んだ時のURLは?
>「https://www.aeon.co.jp/」から始まっている、という解説にすれば注意喚起に表示されていたとしても詐欺にひっかかる前に読むのか、読んだとして覚えているのか、「/」まで意識が回るのかインターネットが一部のマニアの物では無くなり、多くの利用者がURL欄というより検索欄と思っているような現在にはそぐわないかと
アエオンとか似せる気ゼロでホント草
イオンはaeonって書くんですよ。ionではなく。
いや俺もaeon.co.jpと思うてんけどなオカンが言うには、いっぱい聞けて、いっぱいしゃべれるって言うねんな
あー、ほなaeon.co.jpと違うかぁ
たぶん特に理由はないからChromium Issue TrackerやBugzillaにissue登録するといいと思う
うちのFirefoxでは省略されてないけど・・・?何処か何か設定してたかな・・・?
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。 https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
あまり詳しくないですが可能性のひとつとして、最初にRFC 1630 [ietf.org]とかRFC 1738 [ietf.org]を作った時にhost (authority)だけのURI
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
トップページのURLの "/" (スラッシュ) を省略するな (スコア:0)
「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった [togetter.com] のように、
正規サイトの説明としてURLが「https://www.aeon.co.jp」から始まっている、などといった解説をしているサイトがあります。
しかし、これだと「https://www.aeon.co.jp.example.com/」といったフィッシングサイトを防げません。
これを、「https://www.aeon.co.jp/」から始まっている、という解説にすればフィッシング詐欺対策としては問題無さそうに思えますが、Google ChromeもFirefoxも、FQDNの後のパスが "/" のみの場合それを省略表示してしまうので、「https://www.aeon.co.jp」と完全一致ならば正規サイトであることまで解説する必要が出てきてややこしくなります。
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。
https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。
FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
このスラッシュの省略さえなくなれば、正規サイトは「https://example.com/」から始まります、といった説明ができるようになるので、スラッシュの省略は止めていただきたいです。
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:2, おもしろおかしい)
https://srad.jp/ にアクセスしたときにhttps://srad.jp/ にする必要は全くないと思うんですが。
ええスラッシュ省略するならこうですよね
https:d.jp [d.jp]
(違
# これでリンクが付くのも違うやろ>srad
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:1)
この例なら example.comだけ強調されない?
Firefoxならそうなってるんだけど。
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:2)
件の Chromeだと「www.aeon.co.jp.example.com」のみが普通に表示されるだけのはず。
デスクトップ版 Chrome 86 なんで切れて後ろの方が見えないって事態は多分無い。
この点に限れば Firefox って良くできてると思う。
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:1)
代替手段があるかどうかは別にして、そもそもURLを見て詐欺かどうかの判断をする要素とする事自体がおかしいんですよ
勿論やらないより遥かにマシなのですが
URLの文字列だけで良いのか、文字列だけで良いとしても見間違えなどは無いのか、証明書は、Whoisは、リンク踏んだ時のURLは?
>「https://www.aeon.co.jp/」から始まっている、という解説にすれば
注意喚起に表示されていたとしても詐欺にひっかかる前に読むのか、読んだとして覚えているのか、「/」まで意識が回るのか
インターネットが一部のマニアの物では無くなり、多くの利用者がURL欄というより検索欄と思っているような現在にはそぐわないかと
Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:1)
アエオンとか似せる気ゼロでホント草
Re: Re:トップページのURLの "/" (スラッシュ) を省略するな (スコア:0)
イオンはaeonって書くんですよ。ionではなく。
Re: (スコア:0)
いや俺もaeon.co.jpと思うてんけどな
オカンが言うには、いっぱい聞けて、いっぱいしゃべれるって言うねんな
あー、ほなaeon.co.jpと違うかぁ
Re: (スコア:0)
たぶん特に理由はないからChromium Issue TrackerやBugzillaにissue登録するといいと思う
Re: (スコア:0)
うちのFirefoxでは省略されてないけど・・・?
何処か何か設定してたかな・・・?
Re: (スコア:0)
何故、各ブラウザは、トップページのURLの "/" (スラッシュ) を省略するんでしょうか。
https://srad.jp/ [srad.jp] にアクセスしたときに https://srad.jp/ [srad.jp] にする必要は全くないと思うんですが。ちなみに、URL欄をコピペすると省略されたスラッシュが出てきて(コピー時には省略されない)1文字だけ一致しなくなるのも不快です。
FQDNのみ表示するというポリシーならまだともかく、そのあとの /index.html?q=hoge なんかは表示されるしスラッシュの時のみ省略する意味が不明です。
あまり詳しくないですが可能性のひとつとして、
最初にRFC 1630 [ietf.org]とかRFC 1738 [ietf.org]を作った時にhost (authority)だけのURI