頭ん中 たとえば Twitter のアカウント管理画面は
http://twitter.com/settings/account
にあるけど、もしかするとこういうのは
http://twitter.com/settings/account/msng
などというように
ユーザー毎に URL を分けた方がいいかもしれない。
Twitter ユーザーあたりなら
比較的コンピューターに詳しい人が多そうだからまだいいとして、
今は誰でも簡単にブログを開設したり
各種ウェブのサービスにユーザー登録できたりする時代。
それ自体は歓迎すべきことだと思うけど
そういう状況を踏まえてサービス側で対応すべきことも増えそう。
いろんなユーザーからいただく連絡を見ていると
よっぽどパソコンに詳しい人じゃなかったら
「ログイン」という概念はわかりにくいんじゃないかという気がする。
なので、ブログ管理画面の URL を指して
「ここで私の個人情報が晒されている!」と思う人はけっこういるみたい。
こんなこともしばしば起きる。
- A さんがとあるサイトにユーザー登録して、自分が使っているブログサービスの管理画面の URL を貼り「これがわたしのブログです」と言う。
- 同じブログサービスを使っている B さんがそのリンクをクリックする。
- B さんは当然 B さんとしてログインしているので、画面には自分の管理画面が表示される。
- B さんが「A さんが私の個人情報を勝手に晒している」と思う。
これを防ぐために、
あまり慣れてないユーザーが使う可能性のあるサービスでは
管理画面の URL を分けるといいんじゃないかと思う。
もちろん未ログイン時に表示されるログイン画面は共通で、
ログイン後はユーザー ID を含んだ URL にリダイレクトされる。
A さんの管理画面は
http://exmple.com/settings/a_san
B さんの管理画面は
http://exmple.com/settings/b_san
というふうに。
パラメータで示されたユーザーとしてログインしてなかったら
403 Forbidden をわかりやすい説明と共に返すか何かして。
ただ、こういうことをやると
知識のあるユーザーがそれを見て
「ちょ、このサイト、ログイン後なのに
クエリパラメータでユーザーを判別しとる」
と思っちゃう可能性があるから
今度はそうなっている理由を説明する必要が出てくるかも。
誰もが心穏やかに使えるサービスへの道は長く険しい。
鍛えられますね。
