ケースセンシティブの危険性
2009年06月28日 雑記
「訴訟を検討されてしまった」の最後に、URLの構造について少し書きました。この件について、「ケース・センシティブとかケース・インセンシティブとか | ま゚^3」の記事に、Twitter、livedoor、yahoo!、Googleなどのサービスがsensitiveかinsensitiveかどうかがまとめられています。
タイトルは(アルファベットの)大文字と小文字を区別するとかしないとかいう意味のフレーズですけど、ZAPAさんが"通常Webサービスは、「https://〜〜/zapa/」と「https://〜〜/ZAPA/」は区別しないで同じページを表示するところが多い"と書いていて気になったので、ざっと(アカウント登録しなくていい、つまり既にアカウント登録済みのWEBサービスの範囲内)調べてみた。ケースセンシティブとはアルファベットの大文字と小文字を区別して認識することで、ケースインセンシティブは大文字と小文字を区別しないことです。OSの話で言えば、Windowsは大文字と小文字を区別しないケースインセンシティブで、UNIX系は区別するケースセンシティブです。
ケース・センシティブとかケース・インセンシティブとか | ま゚^3
ケース・センシティブとかケース・インセンシティブとか | ま゚^3によれば、有名どころのWebサイトでは、大文字と小文字を区別しないinsensitiveなサイトが多いようです。
ユーザーIDとして大文字小文字を区別し、さらにそれがマイページのURLとなる場合、まぎらわしいIDやなりすましIDが現れる可能性が高くなります。
例えば、「ZAPA」という大文字のIDを取得したことで、URLが
「https://〜〜/ZAPA/」となって有名になった場合、
「https://〜〜/zapa/」や
「https://〜〜/Zapa/」というまぎらわしいページが出現する可能性があります。
特に、インターネット上にはinsensitiveなサイトが多く、WebブラウザのURL入力欄には小文字だけで入力する人が多いわけですから、「https://〜〜/ZAPA/」のID:ZAPAのページにアクセスするつもりで、「https://〜〜/zapa/」と入力した場合、別のページが表示されることになります。もしこのページがなりすましや、危険なサイトへの誘導ページになっていた場合、やっかいなことになります。
というわけで、アカウント名がそのままURLになる場合、自分としてはなるべく小文字のアカウント名「zapa」で取得するようにしています。でもハンドルネームは大文字の「ZAPA」のままですので、よろしくお願いします。
ただ、今のところケースセンシティブによって何か問題が起きたという話もあまり聞きませんから、たいして問題はないのかもしれませんね。Webサービスのアカウントなら、そのユーザーを管理することは簡単ですから。
Googleを間違えてGooogleと入力してしまってウィルスを送り込まれてしまう、そんな偽のドメインの方がやっかいなようですね。