アカウント名:
パスワード:
転送元のドメイン名・ホスト名がそのままサイト名に埋め込まれるのってちょっと気味悪いかな…http://slashdot.jp.3s3s.org/ [3s3s.org] ← スラドだとこんな風にドメイン名を表示してくれるからいいけど…
気持ち悪いというか、「好ましくない」URL設計だと思います。プロキシのような事を行うには、接続先をパラメータで受け取るべきです。パラメーターとして受け取る例//3s3s.org/?slashdot.jpあるいは、パスの一部として受け取る例//3s3s.org/slashdot.jpさもなくば、ハッシュで受け取る例//3s3s.org/#slashdot.jpであって、現状のようにホスト名の一部として受け取るなんてのは論外です。
ブラウザのアドレス欄での入力のしやすさを優先させたのかも知れませんが、今回のように誤解を招きやすい上に柔軟性にも欠けますし、非常に悪手と言えます。
Cookie を正常に処理しようとした場合、ドメインを分けるのは正解かと思います。path 属性はあまり役に立たないので…。
# shebang considered harmful
なるほど。クッキーを通過的に扱おうとすると、ホスト名が別になる記法に利点がありますね。論外は言いすぎでしたね。
えー、Cookie に限らず web のセキュリティは same origin policy の原則によって保たれている面がありますので、ドメインが変わらないゲートウェイサービスは本質的に危険です。
そういった匿名化や検閲回避サービスを1つのドメイン名でサービスしようとすると、よほど注意深く変換処理をしないと、悪意のあるサイトは利用者をターゲットとしたセキュリティホールが作れます。# てか、おそらくそんな処理は無理でしょう。
もっとも、今回の 3s3s.org、ドメイン名の書き換えが注意深く作られているかは別問題ですが。。。
理解しました。別ホストへのアクセスが別ホストへのアクセスに見えるURLが望ましいわけですね。とすれば3s3sの方法は論外ではなく妥当といえますね。
誤解を減らすには…先頭にもなにか付けましょうか。proxied.slaahdot.jp.3s3s.org とか
いやいやそもそも domain をいじってるようなものだから same-origin policy の点からも気持ち悪いでしょ…
「3s3s.org は安全」という迷信だけが触れ回ったらwww.example.com.[Attacker's malicious service].3s3s.org とかやれば幾らでもあやしいことができちゃうよ
だからそういう 3s3s.org は OK みたいな結論にはどうやってもならないって。悪用の方法・可能性は幾らでもある。そもそもいわゆる「オンラインアノニマイザー」なんて危なっかしいし信用できないんだから、そういうことしたかったら Tor を使えってこと
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
なんか気持ち悪い (スコア:0)
転送元のドメイン名・ホスト名がそのままサイト名に埋め込まれるのってちょっと気味悪いかな…
http://slashdot.jp.3s3s.org/ [3s3s.org] ← スラドだとこんな風にドメイン名を表示してくれるからいいけど…
好ましくない (スコア:2)
気持ち悪いというか、「好ましくない」URL設計だと思います。
プロキシのような事を行うには、接続先をパラメータで受け取るべきです。
パラメーターとして受け取る例
//3s3s.org/?slashdot.jp
あるいは、パスの一部として受け取る例
//3s3s.org/slashdot.jp
さもなくば、ハッシュで受け取る例
//3s3s.org/#slashdot.jp
であって、現状のようにホスト名の一部として受け取るなんてのは論外です。
ブラウザのアドレス欄での入力のしやすさを優先させたのかも知れませんが、今回のように誤解を招きやすい上に柔軟性にも欠けますし、非常に悪手と言えます。
Re: (スコア:2)
Cookie を正常に処理しようとした場合、ドメインを分けるのは正解かと思います。
path 属性はあまり役に立たないので…。
# shebang considered harmful
[Q][W][E][R][T][Y]
Re: (スコア:1)
なるほど。クッキーを通過的に扱おうとすると、ホスト名が別になる記法に利点がありますね。
論外は言いすぎでしたね。
Re:好ましくない (スコア:2)
えー、Cookie に限らず web のセキュリティは same origin policy の原則によって
保たれている面がありますので、ドメインが変わらないゲートウェイサービスは本質的に危険です。
そういった匿名化や検閲回避サービスを1つのドメイン名でサービスしようとすると、
よほど注意深く変換処理をしないと、悪意のあるサイトは利用者をターゲットとしたセキュリティホールが作れます。
# てか、おそらくそんな処理は無理でしょう。
もっとも、今回の 3s3s.org、ドメイン名の書き換えが注意深く作られているかは別問題ですが。。。
[Q][W][E][R][T][Y]
Re:好ましくない (スコア:1)
理解しました。
別ホストへのアクセスが別ホストへのアクセスに見えるURLが望ましいわけですね。
とすれば3s3sの方法は論外ではなく妥当といえますね。
誤解を減らすには…先頭にもなにか付けましょうか。
proxied.slaahdot.jp.3s3s.org とか
Re: (スコア:0)
いやいやそもそも domain をいじってるようなものだから same-origin policy の点からも気持ち悪いでしょ…
「3s3s.org は安全」という迷信だけが触れ回ったら
www.example.com.[Attacker's malicious service].3s3s.org とかやれば幾らでもあやしいことができちゃうよ
Re: (スコア:0)
だからそういう 3s3s.org は OK みたいな結論にはどうやってもならないって。
悪用の方法・可能性は幾らでもある。
そもそもいわゆる「オンラインアノニマイザー」なんて危なっかしいし信用できないんだから、
そういうことしたかったら Tor を使えってこと