水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。

セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。

2005年11月18日(金曜日)

セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。

インターネットディスクのセキュリティ (www.internetdisk.jp)」というページに、こんなことが書いてあります。

公開URLの類推

スムーズな利用を実現する公開URLは、類推対策として暗号化して発行。

インターネットディスクでファイルを公開するときの URL は、たとえば http://pub.idisk-just.com/fview/fGO_vizACeROCbrL02QAPieQafMk7dbiDYRTikZ7aoQTDUu-rG7njAUEXRhmTdQe6qJHPNhHr9U.html のようなものになります。この URL にアクセスすると、ノーパスワードで目的のファイルを取得することができます。URL は見ての通りのような感じで、確かに類推は難しいと思われます。

インターネットディスクではダウンロード時のパスワードという概念がありません。そのかわりに URL 自体が「類推されにくい」ものになっています。これによって、「URL を通知した相手にしかアクセスされない」ことを保証しようとしているのだと言えるでしょう。これはつまり、URL そのものがパスワードとしての機能も果たしている、ということです。上記 URL の fGO_viz……の部分というのはファイルの ID であるとともに、パスワードに相当する機能も持つと言えると思います。

さて、ここで改めて上記引用部分を見てみると、「暗号化して発行」と称していますが……。これが類推されにくいのは良いとしても、「暗号化」と呼んでしまうのは問題ないのでしょうか。

以下の二者は似ているようでいて、全く異なります。

前者は漏れてもいちおう (解読や解析がされなければ) 大丈夫ですが、後者は漏れたら即アウトです。インターネットディスクの公開 URL の文字列は明らかに後者の例で、漏れればただちにファイルにアクセスできてしまいます。

そして URL というものは、Referer などから簡単に漏れることがあります。URL が漏れたらアウトな場合には、ちゃんとそのことを意識しないと危ないはずです。ノーパスワードでアクセスできることは、便利でもあるのでしょうし、それ自体は特に問題ないと思います。しかし、それを下手に「暗号化」などと言ってしまうと、「暗号化されているので漏れても大丈夫」という無用な誤解を招いてしまうのではないでしょうか。

※ちなみに本当に URL が漏れてしまった場合は、一度非公開にして再公開することで URL が変わり、以前の URL が無効になります。もちろん、URL を変える前に見られてしまったらどうにもなりませんが。

というわけで、公開 URL 通知メールの「セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。 (www.google.com)」という文言もちょっとやめて欲しいですし、むしろ「URL が他人に漏れたらそのままアクセスできちゃうので気をつけましょう」みたいな注意が欲しいなあ、と思ったりする今日この頃でありました。

関連する話題: セキュリティ / ジャストシステム

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト