ついでにフィッシング対策メモ?
たとえばスラドjpではリンクをクリックするとリダイレクトページにジャンプさせられます。
別のサイトにジャンプしようとしています。宜しければ上記のリンクをクリックしてください
当然というか、本家スラドではそんなページは出てきません。
本家スラドを開いてみる:
さて、スラドjpの確認ページですが、その実体はしょうもないスクリプトです。
というスクリプトにurl=アドレスという引数を渡すとどんなジャンプ先でも、このページを表示させることが出来ます。
ためしに作ったアドレス:
http://slashdot.jp/link.pl?url=https://gomita.me/gomitame/
私がひっかかったのは、以下の文言です。
これって2ちゃんの「●があったら2chビューアで直接リンク先にジャンプできる」とかいうのと同じにおいがするんですよね。ime.nuのマネ?
ふと、勝手にリダイレクト(ジャンプ確認ページ)を挟むようにして、プチ揉めていたLivedoorブログのことを思い出しました。
外部リンクは確認ページへリダイレクト : livedoor Blogの仕様変更
http://blog.livedoor.jp/kyorecoba/archives/27372973.html
このような仕様にした理由がよくわからないです。
よくわからないからかどうかはわかりませんが、今は確認ページに飛ばされないようになっているようです。
ここでは、この確認ページの類のものに名前を付けて欲しいことをお知らせしておきます。
候補:
ジャンプ確認ページ
↑少年ジャンプの影響で「ジャンプ」は禁忌のような気が
ユーザ優遇リダイレクト(略:ユ~ユ~リ)
↑優遇というか非ユーザ差別のような気も
さて。
リダイレクト時に好き勝手なURLへ飛ばせる間抜けなスクリプトをログイン処理のようなものに書いてしまうとそれはフィッシング詐欺に利用されてしまうことがあるようで、IPAのマヌアリューにも書いてあります。
安全なウェブサイトの作り方 改訂第4版
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf
2.5 フィッシング詐欺を助長しないための対策
3) 利用者がログイン後に移動するページをリダイレクト機能で動的に実装しているウェブサイトについて、リダイレクト先のURLとして使用されるパラメータの値には、自サイトのドメインのみを許可するようにする
・・・利用者がログイン後に閲覧可能なURLにログアウトした状態でアクセスした場合、そのURL情報をパラメータの値などで保持してログイン画面を表示し、ログイン成功後に、そのパラメータの値を利用して改めてリダイレクトするものがあります。しかし、この「リダイレクト先のURLとして使用されるパラメータの値」に制限が無い場合、このパラメータに罠のURLを指定されることにより、フィッシング詐欺に悪用される可能性があります。
これよりもっとスマートな説明も見つけました。マニュアルとは原理原則を見失わせさせる装置だということを思い起こさせますな。
ログイン処理が簡単と言い切れるか ~ フィッシング対策も忘れずに
http://en.yummy.stripper.jp/?eid=987602
http://ime.nu/やhttp://slashdot.jp/link.plは上記の不正なリダイレクトとは逆向きのものなので「どんなURLでもジャンプ可能」にしておかないと意味がありません。
個人的にはこれらの確認ページは、referer隠しが目的だと思っていました。特に2chだと、どこかに自分のサイトにリンクを張られても、被リンク側ではリンク元を探すのに苦労しますから。苦労させます装置。
どうでもいいですが、スラドjpは無駄なことはさっさとやめたほうが良い気がします。
ついでに思い出したのは直リンクの誤用です。
直リンクに何が起きているのか
http://park5.wakwak.com/~tanaka02b/column/history.htm
これを読んでさらに思い出したことがあります。ttp表示をメールに貼り付ける間抜けを見かけたことです。
いまどきのメーラー(←これも微妙な語だ)やテキストエディタやワープロはURLを自動認識してダブルクリックなどでブラウザを開いてくれたりしますが、それでrefererが問題になることはありません。(WebメールでURLにユーザ名とか永続的セッションIDが丸見えだったりする可能性もありますが。)なので、見かけた当時、意図も分からずスルーしていたのですが、なんとなく納得できました。
一部の人間にとってはわけもわからずに
URLを示すときには「h」を抜くのがエチケット
ということになっているということなんでしょう。マナーな風習とはそう
いうものですからね。
賽銭箱の前で、わざわざ喜捨してやろうという人間に対して頭を下げろとか拍子を打てとかいう作法を強要するのと同じようなもので。権威の発生原理ですな。
余禄菩薩:
過去にはリファラーで、壮大な「やっちゃった」をやらかして、なにごともなかったかのように取り繕う連中が実際にいました。 安心できないのもまた事実です。
参考例→http://www.geocities.jp/scope_mondai/
メールを表示して本文にあるURLからリンクして飛ぶと案の定リファラが漏れる。
(pop3://ユーザー名:パスワード@サーバー)
相手側が記録をしていた場合、
・ユーザー名
・パスワード
・pop3サーバー
が分かってしまう。
まだページが残っているのがすごいですね。
http://www.programmer.co.jp/scope.shtml
過去のごみため:
自分で自分にトドメを刺したScope
https://gomita.me/gomitame/2005/10/scope_a4a7.html
あまり関係のない感想:
誰でも作れるレベルで競合がたくさんある製品では、アンチの活動がやたら目立つのは、同系統の製品に投入した金の大きい人が回収に躍起になっているからなんじゃないかなという気がします。
追記
過去に公式見解が出ていたようです。
外部サイト向けリンクをクリックすると link.pl のページを挟むが、その意図は?
広告収益を増やすための一手段としてトライしています。 また、意図せずサイト外に出て行くユーザに対し、サイト外であることを明示し、認識してもらうという目的もあります。 (結果的にどうなるかはわかりませんが)AC を減らすという意図をもって行ったものではありません。
インターネットアーカイブの件はたしかにその通りです。 このあたりはもうちょっと賢くリンクの制御ができれば良いかと思います。
アドレス偽装ということになってしまうかもしれませんが、 slashdot.jp/link.pl は仕様上とても長くなってしまうので、このようにしています。
だそうです。