アカウント名:
パスワード:
ユーザー(WEB閲覧者)が郵便番号を入力 → WEBサーバー → 変換サービス → WEBサーバー → ユーザーというような通信に無駄のある変換だけでなく、
ユーザーが郵便番号を入力 → 変換サービス → ユーザーとユーザーのブラウザーから変換サーバーに直接アクセスして変換できるみたいだけど、APIのスタートガイドを見るとクロスオリジンするドメインをAPI設定画面で指定するだけクロスオリジンリソース共有が有効になるっぽい?
アクセス権限管理のためのトークンをやりとりする仕組みがなさそうだから、> Access-Control-Allow-Origin: (誰か契約してる人のドメイン)をつけたhttpリクエストを発行すれば、この変換サービスにお金を払わなくても使えてしまうという穴がありそう。対策できてるのかな。
#アクセス数制限なしの定額制だし他人事ながらこれでやっていけるのかちょっと心配
いや、それじゃ無理でしょ。どういう想定よ。そもそもAccess-Control-Allow-OriginはHTTPリクエストじゃなくてHTTPレスポンスに使うヘッダーだが。何か勘違いしとりゃせんか?
サーバ介するのを無駄とかいっちゃってる時点で。
穴があるとすれば通常のブラウザ以外のプログラムからのリクエストは防ぎようがなさそうというところだろうが、ブラウザから直でアクセス可能にしてる時点で構造上そうなる。おそらくそういった利用者は最初から見込んでるんだろう。住所を入れたい普通のネット利用者を相手にするアプリで利用してくれればOKと。
会社によっちゃ企業が提供していない無料のAPIはしれっと閉じるリスクから使えないところもあるのでそういう需要はありそう。
そう。ユーザー(WEB閲覧者)はCURLなんかを使ってケンオールのAPIにアクセスできそうだけど、このサービスに金を払うのはWEBサーバで住所入力フォームを提供する企業であって、ユーザー(WEB閲覧者)はその企業を通じて無料でAPIを使えるんだから、ただ乗りする必要がそもそもない。企業が金を払わずにケンオールのAPIを利用した住所入力フォームを提供できてしまうなら問題だけど、それにはおそらくユーザー(WEB閲覧者)側の協力が必要なので、悪用が成立しない。スマホアプリやブラウザ拡張機能ではどうなるのか知らんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
ただ乗りできてしまいそう (スコア:0)
ユーザー(WEB閲覧者)が郵便番号を入力 → WEBサーバー → 変換サービス → WEBサーバー → ユーザー
というような通信に無駄のある変換だけでなく、
ユーザーが郵便番号を入力 → 変換サービス → ユーザー
とユーザーのブラウザーから変換サーバーに直接アクセスして変換できるみたいだけど、
APIのスタートガイドを見るとクロスオリジンするドメインをAPI設定画面で指定するだけクロスオリジンリソース共有が有効になるっぽい?
アクセス権限管理のためのトークンをやりとりする仕組みがなさそうだから、
> Access-Control-Allow-Origin: (誰か契約してる人のドメイン)
をつけたhttpリクエストを発行すれば、この変換サービスにお金を払わなくても使えてしまうという穴がありそう。対策できてるのかな。
#アクセス数制限なしの定額制だし他人事ながらこれでやっていけるのかちょっと心配
Re:ただ乗りできてしまいそう (スコア:1)
いや、それじゃ無理でしょ。どういう想定よ。
そもそもAccess-Control-Allow-OriginはHTTPリクエストじゃなくてHTTPレスポンスに使うヘッダーだが。
何か勘違いしとりゃせんか?
Re: (スコア:0)
サーバ介するのを無駄とかいっちゃってる時点で。
穴があるとすれば通常のブラウザ以外のプログラムからのリクエストは防ぎようがなさそうというところだろうが、
ブラウザから直でアクセス可能にしてる時点で構造上そうなる。
おそらくそういった利用者は最初から見込んでるんだろう。
住所を入れたい普通のネット利用者を相手にするアプリで利用してくれればOKと。
会社によっちゃ企業が提供していない無料のAPIはしれっと閉じるリスクから使えないところもあるのでそういう需要はありそう。
Re: (スコア:0)
そう。
ユーザー(WEB閲覧者)はCURLなんかを使ってケンオールのAPIにアクセスできそうだけど、このサービスに金を払うのはWEBサーバで住所入力フォームを提供する企業であって、ユーザー(WEB閲覧者)はその企業を通じて無料でAPIを使えるんだから、ただ乗りする必要がそもそもない。
企業が金を払わずにケンオールのAPIを利用した住所入力フォームを提供できてしまうなら問題だけど、それにはおそらくユーザー(WEB閲覧者)側の協力が必要なので、悪用が成立しない。
スマホアプリやブラウザ拡張機能ではどうなるのか知らんけど。