他人の空似

2011 年 8 月 5 日

リファラの有無で動作を変えるサイト

Filed under: 未分類 — 中の人 @ 3:20 PM

は本当にやめてほしい。

そもそもリファラはrfcにおいてオプションと定義されており、送信は必須ではない。
むしろ「セキュリティー的な観点からユーザーが送信するかどうかを選択できる形が望ましい」(意訳)とすら記載されている。
(詳しくは ttp://www.ietf.org/rfc/rfc2616.txt を参照の事)

にもかかわらず、リファラを送信しなければ利用できないサービスが大量に存在しており、そのサービスの利用をやめるか、毎回リファラの送信/未送信を切り替えて利用しなければいけなくなっている。
これは非常によろしくない、利用者の側も、運営側もだ。

まず第一に、なぜリファラを送信しないと動作しないサービスが存在するのか?
最も一般的な理由は、XSS対策や”外部サイトから意図しない形で自サービスを利用されない為”だろう。
だがこれは、リファラを利用しても完璧に防ぐことはできないし、他にも対策のしようはいくらでもある場合が多い。
そもそも”リファラは送らなくてもよい”ものであるから、こういう用途で用いることは不適当である。

また、中にはリファラーによって情報を受け渡すことで動作しているサービスも存在している。
こちらは完全に論外であり、リファラに頼らない設計を行うべきである。
中にはリファラ内にユーザーIDを含め、それを元に動作しているものがあるが、そんなサイトから外部のサイトへリンクが張られていた日には、リファラからユーザーIDが漏えいし好き勝手されてしまうことだろう。

以上のように、リファラでなければならないものはなく、Webサイト側に不備があればリファラから個人情報が漏えいすることすらあるのだ。
個人情報保護のため、リファラを未送信のまま利用できることは我々ユーザーの権利であるとすら言える。

なので、リファラがないと動作しないサイトはリファラ未送信でも動くようになってください、ほんと不便なので……

コメントはまだありません »

No comments yet.

RSS feed for comments on this post. TrackBack URL

Leave a comment

Powered by WordPress