一つまたは一体のサービスとしてWebサイトを構築する場合、
例えば、
- www.
site-name. jp - service.
site-name. jp - another-service.
site-name. jp
とするほうがユーザが同じサイトにアクセスしていると明確に分かりやすいです。
同じドメイン名を利用するのはフィッシング詐欺のリスクを軽減するためです。別々のドメイン名を利用していると
- site-name.
jp - site-name-service.
jp - site-name-another-service.
jp - site-name-evil.
jp ←攻撃者が設置したサイト
と第三者が作ったsite-name-evil.
既に複数のドメイン名でサービスを提供していたり、
- site-name-evil.
jp
のように一見正規サイトに見えるWebサイトがフィッシングサイトであることを見抜ける確率が高くなります。運がよければ被害が出る前にユーザからサイト運営者に連絡が入るかも知れません。
しかし、
- site-name.
jp - www.
site-name. jp - service.
site-name. jp - another-service.
site-name. jp
のようなドメインでWebサイトを運営している場合、
まったく別のドメインを利用するとセッションの安全性を向上できますが、
紛らわしいドメイン名の利用は出来る限り控えるべきですが、
対策のまとめ
- 単純ミスを防ぐため、
可能な限りwww. example. com, service1. example. com service2. example. comと同じドメインの深さとなるようにする (example. comは使わない) - サービスや目的に応じて別の組織レベルドメインを利用しない
(example-service1. com, example-service2. comなど) - サービス/
目的別の組織レベルドメインを利用する場合、 最もブランド力の高いドメインで利用しているドメイン名の一覧を提供する (exmample. comでexample-service1. com/ example-service2. comがexample. comの関連ドメインであることを明記する) - ユーザからアップロードされたコンテンツをホストする場合、
まったく別ドメインを利用したほうが安全性が向上する