アカウント名:
パスワード:
それを受けて何かやんなきゃ「次へ」が押せないようにすればいい同じアドレスに連射はできないとか多少防御機構もいるだろうケド
できているところは(1) ユーザにメールアドレスだけ入れさせる(2) そこに登録フォームのURLを書いたメールを送る(3) 受け取ったユーザはメールに書いてある登録フォームのURLで手続するみたいになっていますよね。届かないメールアドレス入れられることも少ないでしょうしなかなか優れた仕組みに思いました。
アカウント登録系のWebフォームはだいたいそれになっていて、それはいいことだと思うのですが、お問い合わせ(ご意見・ご要望)系のフォームでそこまでやられると面倒かなー。
その方式で届いたメールのURLにアクセスしたら、その後の登録でメールアドレスがだめといわれたことが。
たぶん+入ってたせいだけど、だったら最初に排除しろという。
+ということはgmailのエイリアスですかねアレを受け付けてくれないサイト、確かにたまにありますが理由が知りたいですね
gmailに限った仕様ではありませんね。postfixだとデフォルトではコメントアウトされている# recipient_delmiter = +を有効にするだけです。
で、+が使えないのは、単なる知識不足でチェックするパターンが間違っている場合と、デリミタが使えるとアドレス作り放題の障壁が低くなってしまうから敢えて不可にしている場合があるようです。
でもRFCでは使えることになってるんだから使えないのが当たり前ってのはどうにかしてほしい
昔は、無効なメールアドレスをたくさん送信してくるようなサーバーは携帯キャリアなんかにブロックされていたと思ったけど、今はどうなん?
>携帯キャリアなんかにブロックされていたと思ったけど、今はどうなん?
その昔、携帯キャリアが変なメールアドレス許可/発行してなかったっけ。
そうそうそういうのですね、それと連続ピリオドというのもありましたっけ...
RFC違反だがdocomoが通すのでKDDIも対応して…とかじゃなかったっけ
RFCのlocalpart定義が鬼過ぎると思いますわ# 連続や先頭、末尾のピリオド禁止、とかだっけか
グンマーじゃね
届かないメールアドレス入れられることも少ないでしょうし
届かないメールアドレスを入れられることが問題。
そうそう、それが正解ですよね。
コピペよりも手入力のほうが遥かに間違えやすそうだし。パスワードの文字数文字種縛りや定期変更とか、一見有効そうだけど実は無駄 or 害悪になってる慣習はいっぱいありそう。#実生活だともっとあるか・・・
>コピペよりも手入力のほうが遥かに間違えこれ重要!わざわざ手入力で間違えてる奴がいるんだよねー。
文字数制限(xx文字以上)は意味あるのでは?
銀行その他でずーっと4桁でやってるから、最低4桁ですかね。
物理的実体と組み合わせているから数値4桁で済ませているのであって、単に数値4桁のみでOKとされているわけではないですね。スマホの暗証番号やなんやらも同様。あくまで「モノがあり、さらに暗証番号」だから許容の余地があるだけ。
なので例えば「他人からは全く見ることができないID文字列」と組み合わせるならともかく、メアドやユーザIDのように他人に見られてなんぼと組み合わせる場合は数値4桁では心許ないと言わざるをえません。
>あくまで「モノがあり、さらに暗証番号」だから許容の余地があるだけ。
docomoのネットワーク認証番号ってブラウザで使うよな
>>あくまで「モノがあり、さらに暗証番号」だから許容の余地があるだけ。>>docomoのネットワーク認証番号ってブラウザで使うよな
ネットワーク暗証番号ってやつ?たしか4桁数字ですね、ブラウザ経由で回線契約情報を見たり変更するときに使うんだっけ。あれだと、docomoと契約しているスマホじゃないPCからでも出来てた気がする。
モノと番号の組み合わせ、以外にも色々要素があって、例えばトライが許される回数とロックされた時の解除の容易さとかも関係してきますね。3回失敗したら永久ロックかかる(解除にはF2Fで本人確認が必要)とかで縛れば、パスワード自体は短くても運用上”強い”と言えなくもない。そんなの使いたくないけど。んでもちろんロックかからずタイムロスなく複数回線から延々とチャレンジできるようなパスワードだと長くても”弱い”(相対的にね)。なんにせよ、「桁数」だけで何か言うのはキケン、というお話で。
>あれだと、docomoと契約しているスマホじゃないPCからでも出来てた気がする。
それやるとSMSでエラー飛んできますね。
それってgoogleと似たようなやつで「どこそこの端末からloginした?」という確認でしたっけ。
安いからって着易く言うなあという感じ。
電話代かかる頃だったら、「どこに繋がるか分からない(それこそ海外かも)けど、とりあえずテストでかけてみればいいんじゃね?」とは気軽には言えなかった。
下手な鉄砲も数打ちゃ当たる式のテスト送信もE-mailなら許されるような気もするし、E-mailでも大手なら許されないような気もする。
インターネット時代になってからはメールアドレスを入れるようなときにはインターネットには繋がっていて、メール送っても受け取れるのは割と普通だったと思いますが…。サイトを移動するたびにDialUpを切るような状態をしていらっしゃるのでしょうか…
正直なとこ、ユーザに金銭的コストかかるとは考えてませんでした
> 下手な鉄砲も数打ちゃ当たる式のテスト送信これに意味も少しわかんないですユーザが入れたアドレスに送信するわけですので、別に「数撃つ」わけじゃないと思いますが、どういうのを想像してらっしゃるんでしょう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
「テスト送信」ボタン付ければいいじゃん (スコア:2)
それを受けて何かやんなきゃ「次へ」が押せないようにすればいい
同じアドレスに連射はできないとか多少防御機構もいるだろうケド
Re:「テスト送信」ボタン付ければいいじゃん (スコア:3)
できているところは
(1) ユーザにメールアドレスだけ入れさせる
(2) そこに登録フォームのURLを書いたメールを送る
(3) 受け取ったユーザはメールに書いてある登録フォームのURLで手続する
みたいになっていますよね。
届かないメールアドレス入れられることも少ないでしょうし
なかなか優れた仕組みに思いました。
Re: (スコア:0)
アカウント登録系のWebフォームはだいたいそれになっていて、それはいいことだと思うのですが、
お問い合わせ(ご意見・ご要望)系のフォームでそこまでやられると面倒かなー。
Re: (スコア:0)
その方式で届いたメールのURLにアクセスしたら、
その後の登録でメールアドレスがだめといわれたことが。
たぶん+入ってたせいだけど、
だったら最初に排除しろという。
Re: (スコア:0)
+ということはgmailのエイリアスですかね
アレを受け付けてくれないサイト、確かにたまにありますが理由が知りたいですね
Re: (スコア:0)
gmailに限った仕様ではありませんね。
postfixだとデフォルトではコメントアウトされている
# recipient_delmiter = +
を有効にするだけです。
で、+が使えないのは、単なる知識不足でチェックするパターンが間違っている場合と、デリミタが使えるとアドレス作り放題の障壁が低くなってしまうから敢えて不可にしている場合があるようです。
Re: (スコア:0)
でもRFCでは使えることになってるんだから使えないのが当たり前ってのはどうにかしてほしい
Re: (スコア:0)
昔は、無効なメールアドレスをたくさん送信してくるようなサーバーは
携帯キャリアなんかにブロックされていたと思ったけど、今はどうなん?
Re:「テスト送信」ボタン付ければいいじゃん (スコア:2)
>携帯キャリアなんかにブロックされていたと思ったけど、今はどうなん?
その昔、携帯キャリアが変なメールアドレス許可/発行してなかったっけ。
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
そうそうそういうのですね、それと連続ピリオドというのもありましたっけ...
Re:「テスト送信」ボタン付ければいいじゃん (スコア:2)
RFC違反だがdocomoが通すのでKDDIも対応して…とかじゃなかったっけ
RFCのlocalpart定義が鬼過ぎると思いますわ
# 連続や先頭、末尾のピリオド禁止、とかだっけか
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
Re: (スコア:0)
グンマーじゃね
Re: (スコア:0)
届かないメールアドレス入れられることも少ないでしょうし
届かないメールアドレスを入れられることが問題。
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
そうそう、それが正解ですよね。
コピペよりも手入力のほうが遥かに間違えやすそうだし。
パスワードの文字数文字種縛りや定期変更とか、一見有効そうだけど実は無駄 or 害悪になってる慣習はいっぱいありそう。
#実生活だともっとあるか・・・
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
>コピペよりも手入力のほうが遥かに間違え
これ重要!わざわざ手入力で間違えてる奴がいるんだよねー。
the.ACount
Re: (スコア:0)
文字数制限(xx文字以上)は意味あるのでは?
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
銀行その他でずーっと4桁でやってるから、最低4桁ですかね。
Re: (スコア:0)
物理的実体と組み合わせているから数値4桁で済ませているのであって、単に数値4桁のみでOKとされているわけではないですね。
スマホの暗証番号やなんやらも同様。
あくまで「モノがあり、さらに暗証番号」だから許容の余地があるだけ。
なので例えば「他人からは全く見ることができないID文字列」と組み合わせるならともかく、
メアドやユーザIDのように他人に見られてなんぼと組み合わせる場合は数値4桁では心許ないと言わざるをえません。
Re: (スコア:0)
>あくまで「モノがあり、さらに暗証番号」だから許容の余地があるだけ。
docomoのネットワーク認証番号ってブラウザで使うよな
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
>>あくまで「モノがあり、さらに暗証番号」だから許容の余地があるだけ。
>
>docomoのネットワーク認証番号ってブラウザで使うよな
ネットワーク暗証番号ってやつ?
たしか4桁数字ですね、ブラウザ経由で回線契約情報を見たり変更するときに使うんだっけ。
あれだと、docomoと契約しているスマホじゃないPCからでも出来てた気がする。
Re: (スコア:0)
モノと番号の組み合わせ、以外にも色々要素があって、例えばトライが許される回数とロックされた時の解除の容易さとかも関係してきますね。
3回失敗したら永久ロックかかる(解除にはF2Fで本人確認が必要)とかで縛れば、パスワード自体は短くても運用上”強い”と言えなくもない。そんなの使いたくないけど。
んでもちろんロックかからずタイムロスなく複数回線から延々とチャレンジできるようなパスワードだと長くても”弱い”(相対的にね)。
なんにせよ、「桁数」だけで何か言うのはキケン、というお話で。
Re: (スコア:0)
>あれだと、docomoと契約しているスマホじゃないPCからでも出来てた気がする。
それやるとSMSでエラー飛んできますね。
Re:「テスト送信」ボタン付ければいいじゃん (スコア:1)
それってgoogleと似たようなやつで「どこそこの端末からloginした?」という確認でしたっけ。
Re: (スコア:0)
安いからって着易く言うなあという感じ。
電話代かかる頃だったら、
「どこに繋がるか分からない(それこそ海外かも)けど、
とりあえずテストでかけてみればいいんじゃね?」
とは気軽には言えなかった。
下手な鉄砲も数打ちゃ当たる式のテスト送信もE-mailなら許されるような
気もするし、E-mailでも大手なら許されないような気もする。
Re:「テスト送信」ボタン付ければいいじゃん (スコア:2)
インターネット時代になってからはメールアドレスを入れるようなときには
インターネットには繋がっていて、メール送っても受け取れるのは割と普通だったと思いますが…。
サイトを移動するたびにDialUpを切るような状態をしていらっしゃるのでしょうか…
正直なとこ、ユーザに金銭的コストかかるとは考えてませんでした
> 下手な鉄砲も数打ちゃ当たる式のテスト送信
これに意味も少しわかんないです
ユーザが入れたアドレスに送信するわけですので、別に「数撃つ」わけじゃないと思いますが、どういうのを想像してらっしゃるんでしょう