水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > メールアドレス間違いができないような仕組みが欲しい

メールアドレス間違いができないような仕組みが欲しい

2010年2月1日(月曜日)

メールアドレス間違いができないような仕組みが欲しい

公開: 2010年2月2日15時15分頃

iTunes、IDなりすましの恐れ アップル社調査 (www.asahi.com)」。見出しの割に、本文で言っている事例は、意図的に誰かに「なりすまし」できるわけではないように思いますが……。IDなりすましもそれはそれであるらしいとも聞くのですが、また別の話なのではないかという感じがします。

ともあれ、興味深いのはこの話。

一方、愛知県の男性は昨年末まで約2週間、iTS上で、神奈川県の男性の利用画面に入ってしまった。

神奈川の男性がIDとパスワードを登録する際、同じ名字の愛知の男性のメールアドレスを自らのIDとして誤入力した。そのIDがメールのあて先となったため、登録完了通知などのメールが愛知の男性に送信された。

愛知の男性が受信メールを基にパスワードを変えると、神奈川の男性のクレジットカードで買い物ができる状態になった。ただ、愛知の男性が神奈川の男性に連絡をとり、IDとパスワードを直した。

登録時に他人のメールアドレスを設定してしまったためにログインできなくなり、その状態でパスワードリマインダを使ったりしたら……それはまあ、乗っ取られますよね。しかしそもそも、他人のメールアドレスで登録できてしまうのがおかしいような……。

ネット専業を含む国内502社が加入する日本通信販売協会によると、通販サイトのパスワードを変える際、本人確認の仕方には統一した決まりはないという。IDにメールアドレスを使う場合は、入力を間違えないのはもちろん、プロバイダー変更などでアドレスが変わったときは、登録したIDも必ず変えてほしいとしている。

実際、「メールを受け取れるのは本人だけ」という前提でパスワードリマインダの仕組みが設計されているケースは多いでしょう。その場合、メールアドレス間違いは致命的です。存在しないメールアドレスならまだ良いのですが、それが実在すると大変なことになります。

しかし半径5メートル程度に聞いてみたところ、ITunesに関してはこんな話があるようで。

間違ったメールアドレスで登録できてしまう上に、一度そうなると、簡単には修正できないそうで。

メールアドレスが必須項目であるようなサービスの場合、プロフィールなどを入力させる前にまずメールアドレスだけ入力してもらって、そのメールを受信してからでないと登録できない……というような仕組みにして、メールアドレスの間違いができないようにした方が良いのかもしれませんね。

※しかし、ユーザ登録フローを作り直すのは大変だという理由で「メールアドレス入力欄を2個に増やす」という対応が行われたりするオチが予想されます。:-)

関連する話題: Web / セキュリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト