web-dev-qa-db-ja.com

銀行/金融サービスは外部URL短縮サービスを使用する必要がありますか?

安全なWebサイト/ドメイン(または顧客に送信する電子メール)にハイパーリンクを設定したい銀行/金融サービスがあるとします。これらのリンクのいくつかには、サブドメインの1つにリンクするいくつかの長い/あいまいなURLがありますが、長いリンクは醜く、ユーザーフレンドリーではないため、Webサイトまたは電子メールに配置する短い、より良いリンクが必要です。

  • たとえば、外部URL短縮サービスを使用した銀行/金融サービスのリスクは何ですか。ちょっと、これ?
  • 銀行/金融サービスがこの種のショートリンクからロングリンクへの翻訳サービスを独自のドメインおよびインフラストラクチャでホストする方が良いですか?
51
hPNJ7MHTyg

これらのリンクのいくつかには、サブドメインの1つにリンクするいくつかの長い/あいまいなURLがありますが、長いリンクは醜く、ユーザーフレンドリーではないため、Webサイトまたは電子メールに配置する短い、より良いリンクが必要です。

ユーザーは通常、少なくとも数十年以上はURLを入力する必要はありません。実際、 this link を見ると、本当に長いのに、何も入力する必要がないことがわかります。一般に、URL短縮機能は、紙に印刷するなど、ハイパーリンクをサポートしていないメディアを介してURLを送信する必要がある場合にのみ役立ちます。そして、そこにさえ、この正確な問題を解決するために、QRコードは徐々にますます実装されています。

これを行うために外部サービスを使用するリスクは何ですか?

Webcomic showing the dangers of URL shorteners, Source: xkcd.com/1698/

出典:Randall Munroe、 xkcd/1698 、CC-BY-NC 2.5でライセンス供与

URL短縮機能を使用することにより、このURLが信頼できるソースにリンクすることを約束します。選択した短縮URLが機能し、信頼できる限り、これは機能します。ただし、しばらくすると、そのURL短縮サービスは廃業する可能性があり、そのドメインは再び売りに出されます。その時点から、それらの古いURLが機能するかどうか(おそらく機能しない)、またはユーザーがアクセスした場合に何が起こるかを保証できなくなります。ユーザーの目には、このリンクはあなたからのものであることを忘れないでください。そのため、リンクはそうではないかもしれませんが、ユーザーはそのサイトのすべてのものをあなたからのものであると信頼します。

これは実際に起こりましたか?はい。 Windows XPでは、Windows Media Playerには、DRMで保護されたWMVファイルを再生するために必要なライセンスが付属していません。ユーザーにとって幸いなことに、Windows Media Playerには、ライセンスをハードコーディングするためのURLがあります。ユーザーにとって残念なことに、そのURLはもはやMicrosoftを指すのではなく、マルウェアの配布元を指します。 Windowsをまだ使用しているユーザーXPであり、DRMで保護されたWMVファイルを再生したい場合、ユーザーの組み込みメディアプレーヤーによってマルウェアにリダイレクトされますOS、URLの短縮のためにのみ。

より良いソリューション

リンクをデジタルでのみ配信する場合、URLの長さは問題ではありません。ユーザーはボタンをクリックするだけです。テレビ広告や印刷メディアなど、クリックできない形式でURLを配布する必要がある場合は、独自のURL短縮版を作成してください。 ACME Corp.が「Ultra-Gigatron 9001」と呼ばれる新製品を提供する場合、URLを作成しますac.me/ug9001。それが機能しない場合は、acme.com/ug9001。サブドメインは無料で、パス名も無料です。人々がそれを入力することを期待している限り、そのURLはアップしている必要があることに注意してください。

86
MechMK1

銀行/金融サービスがこの種のショートリンクからロングリンクへの翻訳サービスを独自のドメインおよびインフラストラクチャでホストする方が良いですか?

質問には答えが含まれていると思います。私にとって、答えははっきりとイエスです。 URL短縮プログラムは、「銀行」が所有および管理するドメイン名を使用する必要があります。ここでの賭け金は高すぎます。

MechMK1による非常に完全な回答に加えて、合法的なサービスは、ビジネスが停止する前にhackedを取得する可能性があることを覚えておく必要があります(おそらく、ハッキングされます)。特にそれがジューシーなターゲットに踏み台を提供するとき。

消費者はフィッシングに注意するように教えられており、銀行がクライアントが知らないURLを使用してそのアドバイスを却下すると、不信感と混乱を招きます。多くのクライアントがメールをなりすましの可能性があると報告することも予想できます。カスタマーサポートは十分に忙しいはずであり、自己負担の問題に対処する必要はありません。

要約すると、短縮名が必要な場合は、t.coほど短くはないかもしれませんが、目的には十分短い可能性があります(たとえば、電子メールの改行を避けます)。彼らが本当に主張するならば、彼らは.comまたはいくつかの国コード拡張子で短いドメイン名を購入することができますが、それはまだ良い考えではありません。誰でもドメイン名と偽のwhoisデータを購入できるからです。 whoisデータ自体は、銀行が実際にドメイン名を所有および管理していることを証明していません。重要なのは、首尾一貫した、ある程度予測可能なブランドとネーミング戦略が必要です。つまり、クライアントベースによってすでに認識され信頼されているドメイン名を使用します。

安全なWebサイト/ドメイン(または顧客に送信する電子メール)にハイパーリンクを設定したい銀行/金融サービスがあるとします。これらのリンクの一部には、サブドメインの1つにリンクする長い/あいまいなURLがいくつかありますが、長いリンクは醜く、ユーザーフレンドリーではないため、Webサイトまたは電子メールに配置する短い、より良いリンクが必要です。

さまざまな使用例があります。 Webサイトの場合、descriptive URLの使用は通常のことであり、通常はSEOの理由によるものです。一部のURLが長すぎる場合は、それらを書き直すか、別名を付けます。たとえば、URLに3つ以下のキーワードを含めるようにして、最も関連性の高いものを選択します。短縮剤はここでの答えではありません。しかし、サブドメインを持つことができます。

advertisingの場合、消費者がtypeにアクセスする場合、ショートネームは不可欠です。しかし、それらは記憶可能でなければなりません。短いほど良いとは限りません。www.thebank.com/investt.co/Ba21dQ22よりも覚えやすいです。しかし、それが私たちがQRコードを持っている理由です。URLの入力から人々を解放します。

実際、「銀行」がすでにサブドメインを使用している場合、リダイレクトにのみサブドメインを割り当てることができます。そして、数値のような短いパラメーターをクエリ文字列に追加します。

電子メールの場合、URLが改行で切れてしまう可能性があるため、長いURLは必要ありません。 HTML電子メールを送信する場合、長いハイパーリンクを短いキーワードに埋め込むことができるため、実際には問題ありません。問題は、テキスト電子メールまたはHTMLをレンダリングしない電子メールクライアントであり、最近はそれほど多くありません

では、どのような問題を解決しようとしていますか?私の全体的な印象は、ショートナーは主にマーケティングガジェットであり、正しい行動方針は既存のものを改善することであるということです。醜いURがある場合は、時間をかけてそれらを確認し、それらをきれいにし、短くしてください。短いURLは便利ですが、「きれい」ではありません。

25
Anonymous

他の回答に加えて、金融機関からの通信はユーザーが簡単に確認できることを強調したいと思います。

お客様がSMSやメールを受信したとします。

YOURBANK:購入は成功しました。詳細 https://bit.ly/2VBP5iK

これは合法ですか? ITチームにとっては、そのURL自体はコンテキストを提供しないため、リダイレクト先のURLを掘り下げる必要があります。そして、時々彼らさえそれが正当であるかどうか確かめることができないでしょう。銀行のマーケティング部門がドメインを使用するのではなくyourbank-campaign.comでキャンペーンを開始することを決定した場合(したがって、yourbank.comへのフィッシングとして検出された場合)。

https://bit.ly/2VBP5iKhttps://yourbank.com/sign-in につながる場合でも、

  • 彼らは誰がその短縮版を作成したのか知りません。正当なページnowにリダイレクトされたとしても、作成者は後でそれをフィッシングページに変更する可能性があります。正当なページとフィッシングページの間でターゲットURLを変更することは、セキュリティチームを混乱させる優れた方法です。
  • あなたはあなたの銀行からのビットリンクがOKであることをユーザーに訓練しています。悪意のあるユーザーがあなたのエンティティへのフィッシングを指すものを作成する可能性があります。

そして、短縮形として使用するために新しいドメイン(例 https://yourba.nk/ )を購入する場合は、Webサイトのルートに次のようなテキストを配置します

これはyourbank.comの公式の短縮版です。ここのすべてのエントリは、yourbankによる公式サービスにつながります。 https://yourbank.com/faq#shortener を参照してください

ページ https://yourbank.com/faq#shortenermainサイト)からリンクして確認同じ情報。

それにもかかわらず、フィッシングページ、 https://yourba.nk/ からのURLを追加するブラックリストなどのブラックリストにつながるとユーザーが思うが、ホワイトリストに登録できる明確なドメインがあり、すぐに利用できる適切な情報は非常に役立ちます。

私は自分で短縮ドメインを所有することを検討する必要がありますが、実際にはドメインをホストしているcouldは、銀行のインフラストラクチャではなく、bitlyなどのサードパーティに委任されていることに注意してください。それは他の回答が言及した懸念の一部のみを共有します(たとえば、短縮会社が侵害され、顧客の[一部]を別の場所にリダイレクトするなど)。ただし、別の種類の会社にとっては便利なサービスである可能性がありますが、銀行にとっては、プライベートショートナーサービスをホストするための追加コストは、それらのリダイレクトが対象とする通常のページのコストと比較するとごくわずかです。そのため、インフラストラクチャの外部でもホストしません。

14
Ángel

とにかく、私は賢いURLをメールで送るという考えは嫌いです!

私の金融パートナーが通信する何かを持っているとき、私は次のようなものを期待します:

一部のドキュメントはyourbankのアカウントに保存されます。通常のログインを使用して、アカウントのメッセージボックスに接続してください。

ログインを忘れた場合は、前回の請求書に記載されたリンクを使用するか、前回の請求書の下部に記載されている番号にお電話ください。

電子メールでリンクを使用すると、ドメインとしてUTF-8文字を使用する偽のURLのような、Y0urbank.comまたはyⲟurbank.comⲟ asⲟ)など。

そこから、強力なURLは、単純なhrefリンクとして、銀行のWebサイトまたはログに記録された私のプライベートスペースに単純に表示されます。

`<a href="https:yourbank.com/complexUrl%20Holding%20Lot_of_characters">The link</a>
11
F. Hauri

いいえ、誰もすべきではありません。それらはあなたの管理下にはなく、他の当事者の裁量でリダイレクトすることができます。また、受信者/顧客のプライバシーを危険にさらすためにも使用できます。そのようなサービスに対する正当な必要性はありません。本当に短いURLが本当に必要な場合は、独自のドメインで独自の実装(実行するのは簡単です)を実行します。それ以外の場合は、通常のものを使用してください。

URLは見苦しくなりませんでしたそれ自体

銀行内の事業部門がWebサイトを作成しました。彼らはウェブプラットフォームとURLを選んだ人たちです。彼らは、それを顧客向けのURLとして設計し、パブリックコミュニケーションで外に出るように設計したものです。

したがって、マーケティング部門はそのビジネスユニットを押し戻して、「いいえいいえ、このURLを顧客に公開する場合はnot 277文字にする」と言う必要があります。

次に、ウェブマスターは、それを実現するために必要なことをすべて行います。内部リダイレクタ(実際には、ビジネスユニット内のTinyURL)。