アカウント名:
パスワード:
フィッシングドメインからのホモグラフ電子メールアドレスとアドレス帳のホモグラフ対象メールアドレスとを文字列判定をせず画像判定していますってことなんですかね?
# なかのこびとさんもたいへんだんだよー
正規化処理を挟んでるんじゃないかと思うけど、なぜそこに入れた? という疑問が。
そりゃ、例えば日本だとメールアドレスを全角で登録するような人がいるから、でしょ。
たとえメールアドレスに全角を入れたとしても、よく似た文字を使った別のメールアドレスを同じものとして扱う必要は一切ないんだが。同一視するのがうれしいケースがあるとすれば、手入力した文字列でメールアドレスを検索するときくらい。文字列検索用のロジックをメールアドレスの同一判定にまで適用する意味があるのはどういう時なのか知りたい。
いや、だから、Outlookは、foo@example.comから来たメールの送信者がアドレス帳にあるFOO@EXAMPLE.COMと同じ人なのか判定しなきゃいけないんだよ。だから、校合はともかく必要なの。
で、受信者の正規化のアルゴリズムと送信者の正規化のアルゴリズムが違っている場合は、このストーリーみたいな話が起こりうる。手書きとかOCRとか、そういう問題ではないと思うよ。
送信者なんていくらでも偽装できるのだし送信者がアドレス帳にある人と同一だと判定しなければならない理由がいまいちわからないなぁ。
勝手に表示を省略して変更しちゃう機能が邪魔だとしか思えないんだけど、どんなメリットが有るの?
# あれ一度間違ってキャッシュされると、なんかコマンドでクリアするんでしたっけ?
日本だとそう多くはないのだが、ラテン文字圏だと、似たような名前や同姓同名が結構いる。間違えても社内ならまだいいが、社外だと洒落にならんことがある。そういう間違いを防ぐために、アドレス帳の顔写真の代わりに会社のロゴを登録しておくと、少なくとも送信者は瞬時に判別できる。当然のことながら、稚拙な偽装アドレスも見抜ける。
もちろん、偽装されている可能性はあるけど、アカウントを乗っ取られていることもあるし、乗っ取りや偽装がなくても送信者の不注意による危険なメールの転送もあり得るから、基本的には本文や添付ファイルの形式・サイズなどの妥当性で判断するしかない。
そして、メールアドレスを精査するのは、怪しいと判断したときだけ。メールアドレスだけで判断できる眼力は俺には無い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
すげー実装だ (スコア:1)
フィッシングドメインからのホモグラフ電子メールアドレスと
アドレス帳のホモグラフ対象メールアドレスとを
文字列判定をせず
画像判定しています
ってことなんですかね?
# なかのこびとさんもたいへんだんだよー
Re: (スコア:0)
正規化処理を挟んでるんじゃないかと思うけど、なぜそこに入れた? という疑問が。
Re: (スコア:0)
そりゃ、例えば日本だとメールアドレスを全角で登録するような人がいるから、でしょ。
Re: (スコア:0)
たとえメールアドレスに全角を入れたとしても、よく似た文字を使った別のメールアドレスを同じものとして扱う必要は一切ないんだが。
同一視するのがうれしいケースがあるとすれば、手入力した文字列でメールアドレスを検索するときくらい。
文字列検索用のロジックをメールアドレスの同一判定にまで適用する意味があるのはどういう時なのか知りたい。
Re: (スコア:2, 参考になる)
いや、だから、Outlookは、foo@example.comから来たメールの送信者がアドレス帳にあるFOO@EXAMPLE.COMと同じ人なのか判定しなきゃいけないんだよ。だから、校合はともかく必要なの。
で、受信者の正規化のアルゴリズムと送信者の正規化のアルゴリズムが違っている場合は、このストーリーみたいな話が起こりうる。手書きとかOCRとか、そういう問題ではないと思うよ。
Re:すげー実装だ (スコア:0)
送信者なんていくらでも偽装できるのだし
送信者がアドレス帳にある人と同一だと判定しなければならない理由がいまいちわからないなぁ。
勝手に表示を省略して変更しちゃう機能が邪魔だとしか思えないんだけど、
どんなメリットが有るの?
# あれ一度間違ってキャッシュされると、なんかコマンドでクリアするんでしたっけ?
Re: (スコア:0)
日本だとそう多くはないのだが、ラテン文字圏だと、似たような名前や同姓同名が結構いる。間違えても社内ならまだいいが、社外だと洒落にならんことがある。そういう間違いを防ぐために、アドレス帳の顔写真の代わりに会社のロゴを登録しておくと、少なくとも送信者は瞬時に判別できる。当然のことながら、稚拙な偽装アドレスも見抜ける。
もちろん、偽装されている可能性はあるけど、アカウントを乗っ取られていることもあるし、乗っ取りや偽装がなくても送信者の不注意による危険なメールの転送もあり得るから、基本的には本文や添付ファイルの形式・サイズなどの妥当性で判断するしかない。
そして、メールアドレスを精査するのは、怪しいと判断したときだけ。メールアドレスだけで判断できる眼力は俺には無い。