一見、普通のメッセージ入力画面だけど……
Citibank のキャッシュカードにヒビが入ってしまったので、オンラインで再発行の手続きができないかと思って、オンラインサービスをとっても久しぶりに覗いてみたら、銀行からのメッセージなどを送ってくるメールボックス風のコーナーができてました。
で、何気なく開いてみていたら、送信するメッセージを入力する画面にこんな注意書き。
セキュリティ上の理由により、ご利用いただけない文字や記号があります。
例えば
半角の不等号(<)
半角の不等号(>)
半角のダブルクォーテーションマーク(“)に続く半角の等号(=)
半角のシングルクォーテーションマーク(‘)に続く半角の等号(=)
ご利用いただけない文字や記号が入力された場合、その内容は削除され、このメニューを自動的に終了させていただきますのでご了承ください。
え……?
セキュリティ上の理由により、ご利用いただけない文字や記号があります。
まあ、ここまではよしとしても、ですよ。
例えば
半角の不等号(<) 半角の不等号(>)
半角のダブルクォーテーションマーク(“)に続く半角の等号(=)
半角のシングルクォーテーションマーク(‘)に続く半角の等号(=)
これって、悪意を持ってWebサイトを攻撃する人がクロスサイトスクリプティングのコードインジェクションとか、SQLインジェクションに使う文字。
普通のユーザーさんはそんなこと分からずにこういう文字を使っちゃうこともあるので、これまた普通のWebサイトだと、サーバー側でこの種のメタ文字が入力されたら他の表記にエスケープ(変換)して、悪い動作をしにくいようにしてから後の処理に渡す、ということをやるんだけど、このサイトでは大胆に「この文字は使っちゃダメ」と宣言しているところがなかなかシステム屋さんのご都合主義っぽい。
まあ、そこまでは認めたとしても、普通だったらせめて、その種の「システムから見ると危ないかもしれないと思われる文字」が入力されたときは「使っちゃいけない文字が入っているから、そこ直してください」と下手に出るもんだろうと思うのだけど(もっとも、そうするためには結局入力文字をエスケープする手間がかかるんだけど)、ここではまたもや大胆にも、
ご利用いただけない文字や記号が入力された場合、その内容は削除され、このメニューを自動的に終了させていただきますのでご了承ください。
と、せっかく入力したものが有無を言わさず「削除」される上に、「メニューを自動的に終了」されるという、普通のユーザーにとってはなんだか分からないけど決定的に怖く見える脅し文句で締めてあるというところが、強気。
どぶ板の客とは言え顧客なんだから、もうちょっと「おもてなし」ってことを考えた方がいいんじゃないかなあ……。シティバンクを応援する一顧客としては、がんばって欲しいものです。
総当り攻撃には強そうな対策ですが、ユーザインタフェースとしてはご指摘の通りだと思います。
ただし、RFCには準拠している可能性があります。
RFCといえば、メールアドレスの@の前にドットは使っちゃらめぇ、ひゃぅっ、らめなのぉ、というのが有るそうです。
日本の3大携帯電話会社はこれに準拠して無いので、
携帯電話からRFC準拠のプロバイダにメールが送れないというトラブルの種が有るようです。
ドットが有っても携帯電話会社同士や一部のRFC無視のプロバイダでは問題なくメール送信可能なのが、問題に拍車を掛けていて、外野から見ると、ドキが胸胸します。
> ただし、RFCには準拠している可能性があります。
どんなRFCですか?それ。教えてください。