水無月ばけらのえび日記

セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。

「インターネットディスクのセキュリティ (www.internetdisk.jp)」というページに、こんなことが書いてあります。

インターネットディスクでファイルを公開するときの URL は、たとえば http://pub.idisk-just.com/fview/fGO_vizACeROCbrL02QAPieQafMk7dbiDYRTikZ7aoQTDUu-rG7njAUEXRhmTdQe6qJHPNhHr9U.html のようなものになります。この URL にアクセスすると、ノーパスワードで目的のファイルを取得することができます。URL は見ての通りのような感じで、確かに類推は難しいと思われます。

インターネットディスクではダウンロード時のパスワードという概念がありません。そのかわりに URL 自体が「類推されにくい」ものになっています。これによって、「URL を通知した相手にしかアクセスされない」ことを保証しようとしているのだと言えるでしょう。これはつまり、URL そのものがパスワードとしての機能も果たしている、ということです。上記 URL の fGO_viz……の部分というのはファイルの ID であるとともに、パスワードに相当する機能も持つと言えると思います。

さて、ここで改めて上記引用部分を見てみると、「暗号化して発行」と称していますが……。これが類推されにくいのは良いとしても、「暗号化」と呼んでしまうのは問題ないのでしょうか。

以下の二者は似ているようでいて、全く異なります。

• パスワードは暗号化されていて、暗号化された文字列が漏洩しても大丈夫
• パスワードとして複雑な文字列が設定されているため、類推されにくい

前者は漏れてもいちおう (解読や解析がされなければ) 大丈夫ですが、後者は漏れたら即アウトです。インターネットディスクの公開 URL の文字列は明らかに後者の例で、漏れればただちにファイルにアクセスできてしまいます。

そして URL というものは、Referer などから簡単に漏れることがあります。URL が漏れたらアウトな場合には、ちゃんとそのことを意識しないと危ないはずです。ノーパスワードでアクセスできることは、便利でもあるのでしょうし、それ自体は特に問題ないと思います。しかし、それを下手に「暗号化」などと言ってしまうと、「暗号化されているので漏れても大丈夫」という無用な誤解を招いてしまうのではないでしょうか。

※ちなみに本当に URL が漏れてしまった場合は、一度非公開にして再公開することで URL が変わり、以前の URL が無効になります。もちろん、URL を変える前に見られてしまったらどうにもなりませんが。

というわけで、公開 URL 通知メールの「セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。 (www.google.com)」という文言もちょっとやめて欲しいですし、むしろ「URL が他人に漏れたらそのままアクセスできちゃうので気をつけましょう」みたいな注意が欲しいなあ、と思ったりする今日この頃でありました。

• 「セキュリティのため上記アドレス(URL)は、他の人から類推できないように暗号化されています。」にコメントを書く

関連する話題: セキュリティ / ジャストシステム