パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft Outlookがアドレス帳に登録された正規ドメインと似た字形の文字を使ったフィッシングドメインを区別しないという報告」記事へのコメント

  • by Anonymous Coward

    フィッシングドメインからのホモグラフ電子メールアドレスと
    アドレス帳のホモグラフ対象メールアドレスとを
    文字列判定をせず
    画像判定しています
    ってことなんですかね?

    # なかのこびとさんもたいへんだんだよー

    • by Anonymous Coward

      正規化処理を挟んでるんじゃないかと思うけど、なぜそこに入れた? という疑問が。

      • by Anonymous Coward

        そりゃ、例えば日本だとメールアドレスを全角で登録するような人がいるから、でしょ。

        • by Anonymous Coward

          たとえメールアドレスに全角を入れたとしても、よく似た文字を使った別のメールアドレスを同じものとして扱う必要は一切ないんだが。
          同一視するのがうれしいケースがあるとすれば、手入力した文字列でメールアドレスを検索するときくらい。
          文字列検索用のロジックをメールアドレスの同一判定にまで適用する意味があるのはどういう時なのか知りたい。

          • Re: (スコア:2, 参考になる)

            by Anonymous Coward

            いや、だから、Outlookは、foo@example.comから来たメールの送信者がアドレス帳にあるFOO@EXAMPLE.COMと同じ人なのか判定しなきゃいけないんだよ。だから、校合はともかく必要なの。

            で、受信者の正規化のアルゴリズムと送信者の正規化のアルゴリズムが違っている場合は、このストーリーみたいな話が起こりうる。手書きとかOCRとか、そういう問題ではないと思うよ。

            • by Anonymous Coward

              必要なのはそうだけど、どうなってたら一致と見做すかはメールの規格で決まってるんだから、それ用のアルゴリズムを使ったら良い話ですよね。
              やり方は、メールサーバを作ったことがあるような企業だったらどこでも知ってるはず。

              あるいは元々そうしてたけど、アホなユーザから「アドレス帳に(全角英数字で)入れてるのが候補に出ないんだけど!」とクレームが来て、
              ユーザ本位な企業体質から言われるままに対応しちゃったとかですかね。

              …それよりは、最初からメールアドレスの仕様も何も考えず、
              とりあえず何かやるときは使うことになってる「アプリ組み込みタイプのAccessDBライブラリ」をそのまま持って来ちゃってて、
              その万能過ぎる検索性能のせいでやらかす仕様になってたのが後々問題になって来た、という方がありそうですかね。

              • まぁこの件はMSの実装がオカシイだけですね。

                なんというか iso-8859 系話者は case-insensitive な文字列比較が好きなんだけど、
                それと同様に似た文字を合致させる(ウムラウトを無視してヒットさせたりする)
                機能をドメイン名にまで何も考えずに適用してしまっているんでしょうね。

                Google検索でもウムラウトとか無視して検索してくれますからね。
                我々みたいなウムラウトってどうやって入力するんだ、
                みたいな人からすると便利っちゃあ便利な時はあるんだけども。

                個人的にこれ系の実装でいままで一番びっくりしたのは寿司=ビール問題とかよりも
                Oracle のパスワード比較で case-insensitive だったところですね…

                --
                [Q][W][E][R][T][Y]
              • by Anonymous Coward

                向こうからすると、「へ」「べ」「ぺ」と「ヘ」「ベ」「ペ」は違う文字だ!と信じている日本人のほうがクレージーに見えたりして。

              • by Anonymous Coward on 2021年09月11日 12時08分 (#4110659)

                ↑かいてるうち関連リンクの

                メルイが一部加盟店で利用制限へ。フィッシングメール急増のため

                が変だと、いま気づいた。

                親コメント

※ただしPHPを除く -- あるAdmin

処理中...