アカウント名:
パスワード:
部門名はアドレス欄に見える「http://smp.openlabs.go.jp/国、地方公共団体等公共機関における民間ソーシ/」のことですかね。うん、確かに変。なんでこんなことになっちゃったんだろう。いまいち感が漂いますねぇ。
「自己管理Webサイト」で公式アカウントに言及するように、っていうのは正しい助言だと思います。.go.jpや.lg.jpが望ましいというのも、おいそれと取れるドメインじゃないからですね。でもそれらのドメイン名の重さを一般人がどれくらい理解しているかわかりませんから、どうせならhttps://なんとか.go.jp(.lg.jp)で公式アカウントの身の証を立てるように薦めるべきじゃないかという気がします。
公共機関では汎用jpドメインでのスクワッティング対策までしてるんでしょうかね。あと、技術的にDNSをどうにかするとかして「http://にせもの.go.jp」を作るとかってできるんでしょうか。
でも私が一番気になるのはいわゆる「サイトのアドレス」をURLと呼ぶのが適切なのかどうか、RFC3305以降URIに統一されたのではなかったかという点なんですが…。
# そこかい
URIはURLの上位概念であって置き換え語ではありませんから、明らかにLocaterでしかありえないものをURLと呼ぶことになんの問題もありませんが。それともDNSのようななりすましが容易なインフラに依存することなく公式アカウントの証明ができるように、公文書専用のURN空間を用意してRFC化すべきだとかそういうご提案でしょうか?
入れ食いwww
とかいうのはおいといて。
DNSのようななりすましが容易なインフラ
これ、現実的な脅威になるほど「容易」なんですか?技術的可能性の有無ではなく、実際にどれくらい行われているかという点から「攻撃は容易でありリスクが無視出来ない」かどうかが問題です。政府系ドメインへのなりすましが「容易に行われてきた」かどうか、実績で答えられますか?
でもまあそんなことは本質ではありません。消費者レベルのセキュリティ教育で普及している(はずの)「真正性の確認はhttpsで」という知識で片付くなら、.go.jp、.lg.jpドメインなど持ち出すまでもないのではないか、ってことです。逆に言えば、いまどきの賢い消費者なら情報の信頼性を吟味するときまずチェックするはずの「httpsで真正性が証明されたサイトかどうか」という点について触れないのは片手落ちではないか、ということです。
個人的には政府系ドメインの信頼性ないし権威よりhttpsによる技術的保証の方が重要なんじゃないかと。その点このガイドラインはちょっと外しているような。
ただし、W3Cが2001年9月に発表したRFC 3305では、この考え方を古典的な見解としている。新しい考え方では、すべてを等しくURIととらえ、URLやURNといった語は非公式な表現とするとしている。RFC 3305においても同様の考え方が示されている。 [wikipedia.org]
所詮RFC、誰も従う気が無いだけ。そもそも強制力なんかない。文書を書く際に用語を適切に使い分けられないからURIに統一といってるだけだしな。
RFC 3305 はあくまでInformationalなRFCであって、STANDARD TRACKにのっていませんからね。
そういえば昔某所でRFC振りかざしてすげぇ罵倒発言を繰り返す人がいて、目に余ると思ったので(若かったね)「RFC1855とか読んでみようよ」といったら「RFC1855はInformationalだ(から無視する)」と開き直られたことがありました。もちろんTellur52さんをそいつと同一視するわけではありません。
Informationalであってもそういう風に整理されている以上、他人がURLと書くのを咎める気はありませんが自分が書くならURIかな、ってとこです。Webページを「HP」と呼ぶ人にいちいちけちをつけないけれど自分ではそう呼ばない、みたいなもんでしょうか。
>>>> でも私が一番気になるのはいわゆる「サイトのアドレス」をURLと呼ぶのが適切なのかどうか、RFC3305以降URIに統一されたのではなかったかという点なんですが…。> 他人がURLと書くのを咎める気はありませんが言ってることが首尾一貫していないのは(Informationalのものでさえ)RFCで禁止されていないから問題ないんですね分かります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
なりすまし対策ならhttpsってのは脊髄反射? (スコア:2, 興味深い)
部門名はアドレス欄に見える「http://smp.openlabs.go.jp/国、地方公共団体等公共機関における民間ソーシ/」のことですかね。うん、確かに変。なんでこんなことになっちゃったんだろう。いまいち感が漂いますねぇ。
「自己管理Webサイト」で公式アカウントに言及するように、っていうのは正しい助言だと思います。.go.jpや.lg.jpが望ましいというのも、おいそれと取れるドメインじゃないからですね。でもそれらのドメイン名の重さを一般人がどれくらい理解しているかわかりませんから、どうせならhttps://なんとか.go.jp(.lg.jp)で公式アカウントの身の証を立てるように薦めるべきじゃないかという気がします。
公共機関では汎用jpドメインでのスクワッティング対策までしてるんでしょうかね。あと、技術的にDNSをどうにかするとかして「http://にせもの.go.jp」を作るとかってできるんでしょうか。
でも私が一番気になるのはいわゆる「サイトのアドレス」をURLと呼ぶのが適切なのかどうか、RFC3305以降URIに統一されたのではなかったかという点なんですが…。
# そこかい
Jubilee
Re: (スコア:0)
URIはURLの上位概念であって置き換え語ではありませんから、明らかにLocaterでしかありえないものをURLと呼ぶことになんの問題もありませんが。
それともDNSのようななりすましが容易なインフラに依存することなく公式アカウントの証明ができるように、公文書専用のURN空間を用意してRFC化すべきだとかそういうご提案でしょうか?
Re:なりすまし対策ならhttpsってのは脊髄反射? (スコア:2)
入れ食いwww
とかいうのはおいといて。
DNSのようななりすましが容易なインフラ
これ、現実的な脅威になるほど「容易」なんですか?技術的可能性の有無ではなく、実際にどれくらい行われているかという点から「攻撃は容易でありリスクが無視出来ない」かどうかが問題です。政府系ドメインへのなりすましが「容易に行われてきた」かどうか、実績で答えられますか?
でもまあそんなことは本質ではありません。消費者レベルのセキュリティ教育で普及している(はずの)「真正性の確認はhttpsで」という知識で片付くなら、.go.jp、.lg.jpドメインなど持ち出すまでもないのではないか、ってことです。逆に言えば、いまどきの賢い消費者なら情報の信頼性を吟味するときまずチェックするはずの「httpsで真正性が証明されたサイトかどうか」という点について触れないのは片手落ちではないか、ということです。
個人的には政府系ドメインの信頼性ないし権威よりhttpsによる技術的保証の方が重要なんじゃないかと。その点このガイドラインはちょっと外しているような。
Jubilee
Re:なりすまし対策ならhttpsってのは脊髄反射? (スコア:1, 興味深い)
Re: (スコア:0)
所詮RFC、誰も従う気が無いだけ。
そもそも強制力なんかない。
文書を書く際に用語を適切に使い分けられないからURIに統一といってるだけだしな。
Re:なりすまし対策ならhttpsってのは脊髄反射? (スコア:4, 興味深い)
RFC 3305 はあくまでInformationalなRFCであって、STANDARD TRACKにのっていませんからね。
Re:なりすまし対策ならhttpsってのは脊髄反射? (スコア:2)
そういえば昔某所でRFC振りかざしてすげぇ罵倒発言を繰り返す人がいて、目に余ると思ったので(若かったね)「RFC1855とか読んでみようよ」といったら「RFC1855はInformationalだ(から無視する)」と開き直られたことがありました。もちろんTellur52さんをそいつと同一視するわけではありません。
Informationalであってもそういう風に整理されている以上、他人がURLと書くのを咎める気はありませんが自分が書くならURIかな、ってとこです。Webページを「HP」と呼ぶ人にいちいちけちをつけないけれど自分ではそう呼ばない、みたいなもんでしょうか。
Jubilee
Re: (スコア:0)
>>>> でも私が一番気になるのはいわゆる「サイトのアドレス」をURLと呼ぶのが適切なのかどうか、RFC3305以降URIに統一されたのではなかったかという点なんですが…。
> 他人がURLと書くのを咎める気はありませんが
言ってることが首尾一貫していないのは(Informationalのものでさえ)RFCで禁止されていないから問題ないんですね分かります。