06 June '2007 - 19:00 | 技術動向 メールアドレスに + を使うと危ない件
Pivot 開発チームでヤレと言われたので、Facebook に登録してみた。まだよく分かってないけれど、http://www.facebook.com/profile.php?id=526534922 です。たぶん、同じネットワークに入ってる人とか友達になってる人しか観られないんだろうけれど。
基本的に、ぐぐれないところに何かを書くのは時間の浪費だと思ってるので、こういう SNS とかはあんまり好きじゃないし、だからたとえば mixi とかにも興味はないのだけれど、Facebook は登録は自由だし、流行ってるものを覗くのも悪くないかな、と。まあ、積極的にどうこうする気はぜんぜんないけれど。
そういうわけで、とりあえず登録しようと思ったら、メールアドレスに + (plus) が入ってるからダメよんって言われた。
ふつうなら、この時点で使うことを諦めるか、ぼくに使ってあげられることを却下するのだけれど、こうみえてもかなり心が広いので、+ (plus) の代わりに - (dash) を使って登録しておいた。そして、「メールアドレスに + (plus) が入ってたら登録できないなんて差別だ。訴えてやる」とサポートにメールしておいた。
ら、そっこうで返事がきた。いわく「+ (plus) が入ってるメールアドレスは受け付けないことに決定したのです。ごめんなさい。」
なるほど。間違ってそうしてしまったわけではなく、そう決定したわけか。ふむふむ。
いやいや、そんなこと勝手に決めるなよ。たとえば、- (dash) を使わせるのは禁止しよう、なんて仕様は許されないでしょう。- (dash) 同様、+ (plus) を使ったメールアドレスは、れっきとした、正しい、ありえるメールアドレスなんだから、それを勝手に排除って、どういう了見ですか。
すると、「安全上の問題で、そう決定したのです」と言われた。
なるほど、なるほど。たしかに + (plus) を受け付けると危ない。メールアドレスに + (plus) が入っていると、ハッカーにシステムを乗っ取られる危険性が高まるのは間違いない。
いやいや、そんなことをいったら、例えば、- (dash) も認めないようにした方が安全性はぐっと高まるんじゃないか? . (dot) とか _ (underscore) とか、排除した方がもっともっと安全なんじゃないのか?ていうか、それ、どういう基準なんだ?どういう安全上の問題を検討しているのだろうか?
すると、「決定の理由等は、安全上の問題からお答えできません」と言われた。
なるほど、なるほど。それは確かに秘密にしておく必要がある。ぼくだけならいいけれど、ぼくに教えてしまったら、すぐにどこかにその秘密を書いてしまうし。
というわけで、よく分からないけれど、どうしてもメールアドレスに + (plus) を使うのを認めるわけにはいかないらしい。勝手にそんなことをするなんて、おまえら Microsoft かと。
ちなみに、メールアドレスに + (plus) を認めないという仕様は、じつはそこら中で見受けられる仕様なのだけれど、それらはすべてバグか勘違いだと思っていた。
なので、「直せよ」ってメールに対しての返信で想定していたのは、「それは RFC 的に使えない記号です」という勘違いか、「あれ?おかしいな、直します」というバグだった。だって、積極的に + (plus) を排除するなんて、メールアドレスは 16文字までです、あしからず、くらいにあり得ないと思っていたし。
しかし、こういう風に、分かってて意図してそうした、って言われちゃうと、ぼくにはどうにもならない。やはり、Google さまに頑張ってもらいたい。
まあ、qmail みたいに alias を使えるようにしたのは、さすが GMail、めちゃくちゃ偉いけれど、- (dash) ではなく + (plus) を使うようにしたというのは、もしかしたら、アレだったかも知れない。
そうでなければ、Google さまは、+ (plus) が使えないシステムなんて完全に間違っていると、もっと声を大にして啓蒙活動して欲しいな。
(6月8日、追記)
なぜか、また Facebook からメールが来た。曰く「現在 + (plus) を受け付けないようにしている理由は、その記号が alias 用に使われていることが多いので、ひとつのメールアドレスで無限に登録できてしまうのはイヤだな、ということからそうしてます。」
言っていることは分かる。でも、そんな理由だったら、たとえば + (plus) より後ろは捨ててパターンマッチすればいいだけじゃないの?って、さすがにそこまでやって alias を使えるようにしてあげるのは、いちいち面倒くさいか。
ていうか、そもそもメールアドレスなんて(事実上)無限に作れるのだし、そんなところで制限しても意味ないと思うんだけれど。しかも、ぼくは - (dash) も alias に使ってるし、qmail はそれがデフォルトだし。
無意味に仕様を作るよりも、ただ入力されたメールアドレスに確認メールをなげて所定のプロセスに時間内に従った人だけアカウントを有効にする、ってのでいいんじゃないの?簡単なことをわざわざ難しくすることで仕事を確保したい系の人がいるのは分かるけれど。
MSY - 06 June '2007 - 23:28
自分には関係ないと思って忘れてたんだけれど、最近は、対象を拡大しつつ、出入りも自由になったみたい。
とりあえず登録して、友達登録しておいてよ
ひろしま - 06 June '2007 - 23:40
自分も使いたいとは思うんですがね…
通りすがり - 07 June '2007 - 00:20
RFC2822 以外にメールアドレスを規定しているものがあるとは記憶していないのですが。
ひろしま - 07 June '2007 - 01:42
worris (ウェブサイト) - 07 June '2007 - 06:00
そういえば、そんなサービスがあったこと、すっかり忘れてました。で、いま試してみたら「Email addresses containing '+' are not supported at this time.」らしいですね。つまり、仕様で排除している、と。
もしかして、システム内部で + (plus) を利用しているのでユーザに使われると困るとかいうダメな仕様なのかも知れないけれど、どういう了見なんでしょうか。
そうでなかったら、そもそも alias に + (plus) を使う設定の負けを認めて - (dash) とかにすればいいのに。
ひろしま - 07 June '2007 - 11:55