今日は「空メール送信によるメールアドレスの入力」を考えていた。

メールアドレスを要するときは直接入力させるよりも空メールを送ってもらうほうが良いのではないか。たとえば、ユーザー登録のときに mailto: を使って空メールを送ってもらい、その FROM を入力とするようなイメージだ。

長所としては次のようなものがある。

• 入力の手間を減らせる
• 入力の間違いがない

短所としては次のようなものがある。

• サービス側に受信メールを処理する仕組み (別の口) が要る
• 希望するメールアドレスを登録できない可能性がある (FROM に登録したいメールアドレス以外が使われている)
• ユーザーが手続きを理解しづらくなる可能性がある

なんとなく古くさい感じがする手続きなのだけど、入力の手間の削減と間違いを防止できるのはなかなか良い気がする。

追記: ユーザー登録に関して言うとパスワードを安全にやりとりするのが難しそうだ。

事前に https でメールアドレス・パスワードを送信する場合は、メールアドレスの存在確認のためだけのメールが漏れてもパスワードが漏れないためログインされない。

しかし、上記のフローだとパスワードを安全な手段でやりとりできない。仮パスワードなどを合わせて送れば漏れてしまい、ログインされてしまう。まあ、一般的なパスワードリマインダーも似たような問題を抱えているので、気にしないというのも手だけど……。

メールの内容を通信経路などで第三者に見られる状態だと、なりすましを防ぐ手段がない。メールアドレスとパスワードのhttps での送信のあとの、メールアドレスの妥当性確認のためだけのメールなら見られても、ログインされることはないので良いんだけど。

— bouzuya (@bouzuya) April 5, 2017