CLUB Panasonic、「+」を含むメールアドレスを不正な書式として無効化 76
ストーリー by nagazou
まだまだ見かける 部門より
まだまだ見かける 部門より
CLUB Panasonicは7日、システム切替に伴い、一部の書式を含む登録メールアドレスを無効化する処置をおこなうと発表した。特定メールアドレスが無効化されるのは7月25日以降で、該当するユーザーは「ご登録情報変更」からメールアドレスの変更をおこなうよう求めている(CLUB Panasonicリリース)。システム切り替えはメールアドレスの国際基準に準拠するために実施するもので、RFC違反メールアドレスが無効化される。リリースでは無効化されるメールアドレスの具体例として、
(1)メールアドレスのローカル部の書式が不正な場合
例:「@」より前に「.」が連続、もしくは先頭や末尾に「.」を含むなど
(2)メールアドレスのドメイン部の書式が不正な場合
例:「@」より後に「.」が連続、もしくは先頭や末尾に「.」を含むなど
(3)その他、メールアドレスの書式が不正な場合
例:メールアドレスに「+」を含むなど
を上げている。こうしたRFC違反メールアドレスは、国内では古いキャリアメール(docomoおよびau)利用者に多い傾向がある(RFC違反メールアドレスとは?なぜRFC違反が存在するのか?)。
そもそも「.」の連続や「.@」はRFC違反ではありません (スコア:5, 参考になる)
皆がそういっているから正しいんだろう、と思い込む前にRFC原文を読んで下さい。
まともに原文を読まないエセエンジニアが、「.」の連続がRFC違反だというガセを流して、それが真実だと信じるエンジニアが増えてしまいましたが、誤りです。
(DNS"浸透"問題でも嘘が信じられていた時代もあったので、エンジニアの皆様もフェイク情報に惑わされやすいようです)
"hoge."@example.com や "ho..ge"@example.com は RFC 準拠です。
local partは、 クオーテーションマーク「"」のなかにスペースを含むいろんな文字が入ったquoted stringを含むことができる(廃止済みの RFC2822 3.2.5 → RFC 5322 3.2.4. に継承)とされています。
ガラケーも本当の初期の数年以外は、外部(インターネット)とのやり取り時には、"で正しく括ったquoted stringに自動変換して処理していたので、扱えないMTAの方が問題なのに、何故か携帯電話会社にRFC違反だという冤罪を押し付けるエンジニアが多く、それをRFCも読めないエンジニアが信じてしまったのです。
quoted stringが複雑怪奇で止めるべきだから冤罪を押し付けても良いと考える「確信犯」も中には大勢いたと思われますが、実装が面倒だからと排除が進んでしまうと、今回のようにエイリアス目的での「+」が弾かされるなどして、多くの人が不利益を被るようになってしまうのです。
ちなみに、Gmail MTA は quoted string を含むメールアドレスへの送信を "The recipient address <メールアドレス> is not a valid RFC-5321" と嘘のメッセージを出して拒否するメールサービスの1つです。
そういうこともあるので、Gmail の + によるエイリアスが他社で弾かれるのは「自業自得」であって個人的には同情しにくいという思いもあります。
Re:そもそも「.」の連続や「.@」はRFC違反ではありません (スコア:3, すばらしい洞察)
またお前か
いい加減にしろ
タイトルミスった (スコア:1)
正) そもそも「.」の連続や「"hoge."@example.com」はRFC違反ではありません
ちなみに、セキュリティの専門家の徳丸さんは https://www.tokumaru.org/ の連絡先として下記のメールアドレスを使っています。
"><script>alert('and/**/1=1--')</script>"@tokumaru.org
これは、RFC準拠です。
メールアドレスを受け付けるサービスを運営する場合には、quoted-string だけでなく、こういったメールアドレスも正しく処理できるようにテストしましょう。
Re: (スコア:0)
偉い人が使ってて対応せよとなる。
Re:そもそも「.」の連続や「.@」はRFC違反ではありません (スコア:1)
「"foo."@example.com」はOK
「foo.@example.com」はアウト
まぁこんなんを一般ユーザー相手に説明する苦労は背負いたくないわな
いくら互換性が必要とはいえ、メールのRFCは複雑で不合理な仕様を保持しすぎだったと思う
一企業が自由に運用できるサービスに利便性で勝てないのは必然だった
今Web3とか言ってる連中はその辺どうするつもりなんだろな
Re:そもそも「.」の連続や「.@」はRFC違反ではありません (スコア:1)
Web3とか言ってるものはWebと関係がないもので、それを持ち上げているのはただの詐欺集団です。
Re:そもそも「.」の連続や「.@」はRFC違反ではありません (スコア:1)
RFC信者には、こういう手段と目的が逆転してる人が多いね。
RFCに準拠するとかえってトラブルが増えるからあえて制限してるのにね。
「RFCがー」と叫ぶだけで、なぜみんな準拠しないかを考えもしないし、準拠してないプロジェクトを支援することも絶対にしない。ただただRFCを金科玉条として崇め奉るだけ。
Re:そもそも「.」の連続や「.@」はRFC違反ではありません (スコア:1)
「高度に複雑化した仕様は、バグと見分けが付かない」
このジョークにピッタリの例の一つが、E-mailアドレスだと思う。
Re:そもそも「.」の連続や「.@」はRFC違反ではありません (スコア:1)
は? さらっと責任転嫁すんな!!
外に出す時だけ自動変換して処理すればオッケーとでも思ってんのか?
外から入ってくるときのことを都合よく無視して「冤罪」ってお前さぁ……
携帯電話会社が"で正しく括ったquoted stringのアドレスをユーザーに払い出したか?
違うだろ、括らないRFC違反のアドレスを払い出しまくって世の中に迷惑かけてたんだよ
1年半前までそんな様だったからiOS 14 [mobile.srad.jp]で問題起こしてたんじゃねーか!
Gmail (スコア:2, 参考になる)
Gmailではエイリアスとかで使えるよね。
ZZZKKKSL@gmail.com ならば、
ZZZKKKSL+abc@gmail.com
ZZZKKKSL+def@gmail.coma
とかも使える。
これ使って、サイトで登録するときにサイトごとに登録アドレスを変えておき、漏洩したときにどこから漏洩したかわかるようにしている人もいるんじゃないかな。
Re:Gmail (スコア:1)
開発時の動作確認に便利なんだよ。
システムで登録完了メールとか管理者向けの通知メールとか緊急対応用のエラー
メールとかイロイロあって、それぞれ目的が違うから送り先も変更できるように
作ってある。
どこに送られたか動作確認するのに全部別のアドレスを設定するんだけど、
開発やってるのは自分だから全部自分宛に送りたい。もちろん、いわゆる捨て
アカウントを何個も用意してそこに送りつけてもいいんだけど、それだとどの
アドレスを何のために使ってるか混乱するから、
foo+user@gmail.com
foo+admin@gmail.com
foo+error@gmail.com
みたいにして設定しておけば楽でしょ。
Re: (スコア:0)
てっきりRFCに沿った仕様だと思ってたけど、今回の話でGoogle様が勝手にやってたのか?と思って調べてみたら、ちゃんと使っていい文字として定められてるじゃん。
なにこのCLUB Panasonicの勝手なRFC違反定義は。
RFCに反してるのはCLUB Panasonicのほう。
Re:Gmail (スコア:1)
CLUB Panasonic が"RFCに反している" ってどの辺が反しているんですか。
Re: (スコア:0)
(3)その他、メールアドレスの書式が不正な場合
例:メールアドレスに「+」を含むなど
をRFC規約として扱ってるとこじゃね
知らんけど
Re:Gmail (スコア:1)
親切にありがとうございます。
誤った書式のメールを放流しているわけでもないのに反していると言われると論理的に「へ?」となる。
使っても良いよ と言ってるのに使わないのはになるのかっていう。
そもそも Panasonic は RFC という言葉を使っていない。
Re:Gmail (スコア:1)
「メールアドレスに+を使うのはRFC違反ではない」というのはご理解いただいてるでしょうか?
そもそも Panasonic は RFC という言葉を使っていない。
CLUB Panasonicのリンク先には「メールアドレスの国際基準に準拠するために実施」とありますので、これがRFCのことではないかと。
Re:Gmail (スコア:1)
RFCに反していないのに、そのメール(アドレスの登録)を拒否してる時点で違反。
Re:Gmail (スコア:1)
RFCは便利にするための国際標準のための仕様書でしかないで、ある命名ルールに基づいて拒否しても別に違反ではない。
そういう「拒否」が違反なら迷惑メールフィルタとかも違反。
なんかいかにも国際基準に準拠するためとかにおわせる文章(「メールアドレスに「+」を含む」が国際基準に準拠してないとは
言ってない。「だれか」にとって不正と判断したというだけ)で自己正当化してるのがなんかクソムーブよね
ってだけ。
Re:Gmail (スコア:1)
準拠するためにRFCに違反していないものも拒否しないといけないような国際基準ってのは、そもそもどれのことなのか?
Panasonicは例しか挙げておらず、その基準を参照できないことにはどれがどう違反になるのか利用者からはわからない。
Re:Gmail (スコア:1)
RFC関係なく一人が複数アカウント取得防止のために「+」を禁止しているシステムって結構見かける気がする
ユーザー離れのリスクを背負って独自ルールを押し付けるのはサービス提供側の自由でしょうし
Re:Gmail (スコア:1)
Gmailのアカウントに.を含めて登録してしまったせいで、返信したらメールアドレスが違いだの、.入りのはエラーになってるだの、散々だよ
Re: (スコア:0)
Gmailはピリオド無しでも届きますよ。アカウントが"abc.def."だったとして、"abcdef@gmail.com"で届く。
Re:Gmail (スコア:1)
ログインすらそう。
FAQにピリオドに関して書いてある [google.com]
まぁ、ログイン後の既定のアドレスは作成時のドット付きですが。
Re: (スコア:0)
そりゃそこは自由にしてくれって感じなんだけど、自分の使ってるメールアドレスが「不正」とか言われると腹立つわ。
一般的な話じゃなくて特定の都合だけなんだから。
「サービス提供上認められない」とか素直に書けよ。
Re: (スコア:0)
どこから漏洩したか判ってもそこまで役に立つわけじゃないけど、
別のサイトでも別のエイリアスを使っておけば漏洩したメールアドレスでのリスト型攻撃が通らなくなるので可能な限り別のエイリアスつけてる
パスワードも別だからこれもさほど意味ないけどね
Re: (スコア:0)
あれかな
スパム業者からおたくのリスト使ったらSQLインジェクションされたぞとクレームでも来たのかな
誤動作の可能性あります?
なんらかの社内監視システムで誤動作するからだめなのかしらん?
作った人は抜けてて更改できる人もいないとか
Re: (スコア:0)
このために使ってたけど、iCloud+のメールを非公開ができたので新しいのは全部そっちにしちゃったなー。
Re: (スコア:0)
Gmailだけじゃなくてhotmail.com(outlook.com)でも使えますよ。
Exchange Onlineでも使えるので会社のメールがそれなら既定で使える。
使えないなら管理者がそのように設定しているということです。
メールアドレスに「+」を含む『など』 (スコア:2, 興味深い)
さらっと『など』って書いてるけど、+以外に本来使える記号なのに不正に不正扱いされる
記号どのくらいあるんでしょうね。
もしRFC内で+とまとめて書かれてる
$&'*+-/=?^_`{|}~
が全部不正扱いで、お知らせではたまたま+を代表で書いただけとかだともっとひっかかる人増えるよね。
あ、そういや俺のPCアドレスには-が入って、携帯アドレスには_が入ってるんだけど、
たまにアドレス登録しようとして「正しいメールアドレスを入力してください」とか拒否られるんだよな。
もしかしてそのへんをまとめてNG扱いしてるところすでにあるのでは。
Re: (スコア:0)
ローカルパートがアルファベット1文字のメールアドレスを使ってますが、ときどきエラーになります。
Author 's Address of RFC5231 (スコア:1)
https://www.asobou.co.jp/blog/web/mail-rfc#RFCRFC [asobou.co.jp]
この記事、自分でリンクしてるRFC5231のAuthor's Address見てないのか?
ダブルクオート (スコア:0)
ダブルクオートで括ればそれらの記号や書式を含んでも良かったような。
Re:ダブルクオート (スコア:3)
タイトルにもある通り、3番目の「プラス記号を含むアドレス」がRFC違反ではないのに不正とされることが今回の問題点な気がする。
Re:ダブルクオート (スコア:1)
gmailでこれ使ってる人多そうだけどね
Re:ダブルクオート (スコア:1)
どこのサイトから漏れたか判別用に、+pana@gmail.com
とかしてますね
Re:ダブルクオート (スコア:1)
記事本文では、無効化対象の引用後に「こうしたRFC違反メールアドレスは」って書いてあって、3番目にも賛意を示してるように読める。
不正なアドレスを弾くと名言したことにニュース性を感じて記事作ったんじゃないの?
多分、pana側に問題があったとは思ってなさそう。
Re:ダブルクオート (スコア:2)
タレコミ時点でタイトル+情報元へのリンクのみ。記事本文はnagazou謹製。
タイトルでは3番目にしか触れていないことから、タレコミ子は私と同じことを言いたかったんじゃないかと推察します。
はい? (スコア:0)
> ※本システム切替は、メールアドレスの国際基準に準拠するために実施するものであり、お客様の会員情報の削除ではありません。
https://datatracker.ietf.org/doc/html/rfc5321 [ietf.org]
https://datatracker.ietf.org/doc/html/rfc5322#section-3.4 [ietf.org]
どこの国際基準に準拠しようとしてるの?
どう見てもRFC5322でも5321でも+とかは使える記号だし何を言ってんだ?
https://datatracker.ietf.org/doc/html/rfc5321#appendix-F.6 [ietf.org]
是非とも+が不正だって言うならRFC5321のAuthorにメール送って直せって言ってこい
既に+ついてるけど。
なぜ無効にしたし (スコア:0)
調べてみたけどよーわからんな。
バックエンドでのインジェクションを警戒して?
拡張アドレスを抹殺したかった(なぜ)?
メールアドレスに記号を許すことによるリスクはありますか?
https://ja.stackoverflow.com/questions/60742/ [stackoverflow.com]
残像に口紅を (スコア:0)
実はこの先、1日に1文字ずつ使用できない文字が増えてゆくのだ。
CLUB Panasonic から「a」が失われると CLUB Pnsonic になる。
しだいに使用できる文字が減ってゆき……
Re: (スコア:0)
蔵馬が変な顔するオチか
Re: (スコア:0)
Club Panic
Panasonic Store Plus (スコア:0)
オフィシャルサイトのメールアドレスもプラスがないのです
store@panasonic.jp
# オレオレ解釈のRFCのコンサルかえらいひとからの鶴の一声なんだろうねぇ
Re: (スコア:0)
「オフィシャルサイト」が「オシャレサイト」に見えて
「今のPanasonicにオシャレとかありえんwwwwww」
と思ったのは秘密だ
無効にしたいワケ (スコア:0)
サイト構築業者のレベルが低いんだろうね。
記号が入っていると副作用がありそうで怖いから無くしたいっていうのが本当の理由だろう。
だいぶ前にも、おもちゃメーカのECサイトがリニューアルした際、パスワードが英数文字オンリーになって記号を使ってた人等がログインできなくなって問題になってたw
Re: (スコア:0)
Gmailのエイリアスを使った大量複アカ登録対策もしたいのかも知れない。
Re: (スコア:0)
Gmailの場合、(ローカルパートの英数字数-1)^2だけの有効なメールアドレスが使えるのですでに意味が無いような
最初から英数字のみでいいだろ (スコア:0)
どの記号が使えるか調べるのが面倒なので、最初から英数字のみにしとけば、よけいなこと考えなくて済む
Re:最初から英数字のみでいいだろ (スコア:1)
アンスコとハイフンぐらいは入れても良くないか?
# とか言って増えてくんかなー
Re: (スコア:0)
そのかわりパスワード長を1000文字以上にするとか