ソーシャルサイトでURLの重複チェックをすり抜けるハック

via reddit

悪用厳禁なハック。Diggなどで新しいニュースを投稿する際に、過去に誰か他の人がまったく同じURLで投稿していると、エラーになってしまうという。

「以前はウケなかったけど自分なら面白い紹介文を書ける」という人は、なんとかしてそのURLをシステムにねじ込みたいかもしれない。そんなときには、サーバやスクリプトエンジンの動きを利用することで、別のURLにして投稿できますよ、というもの。

たとえば、 http://example.com/hoge/ がだめなら、 http://example.com/hoge/./ としてみる。

それから、 http://example.com/hoge/?hoge=hoge などと、無意味なパラメータをつけてみる。パラメータがついても目的のページにアクセスできる場合は、これで重複チェックを飛び越せるというものだ。

メールアドレスもそうだと思うけれど、どこまでが同一でどこからは違うか、というのをまじめにシステムに組み込むのはコストが高くてたいへんだなあ。すり抜けられたときの影響を考えて決めるのだろうけど。