Capability URL

[19] URL に秘密の識別子を含めることで簡易的な認証として使ったり、一度限りしか使えない識別子を含めることで1回だけ利用可能な機能を提供したりすることがあります。

[20] セキュリティー上好ましくないといわれることもありますが、使い方次第で簡単に便利な機能を実現でき、一概に良い、悪いといえるものでもありません。実際に多くのWebサービスでこの種の機能が日々使われています。

[14] セッションID (URL に入れる方式), Bearer (URL query 方式)

[10] 何度でも使える場合には、サーバーの実装者は参照元ポリシーを適切に設定する必要があります。

[1] Good Practices for Capability URLs ( (2014-01-04 04:41:45 +09:00 版)) http://w3ctag.github.io/capability-urls/2014-01-03.html

[2] Good Practices for Capability URLs ( (2014-02-15 00:44:41 +09:00)) https://www.w3.org/TR/capability-urls/

[3] Good Practices for Capability URLs ( (2015-01-08 02:22:20 +09:00)) https://w3ctag.github.io/capability-urls/

[4] Push API - Web APIs | MDN ( (2016-04-13 21:29:01 +09:00)) https://developer.mozilla.org/en/docs/Web/API/Push_API

The endpoint for the subscription is a unique capability URL: knowledge of the endpoint is all that is necessary to send a message to your application.

[5] 認証鍵付きURLを公開しないでください - はてなフォトライフ日記 - 機能変更、お知らせなど ( (2016-05-21 10:49:18 +09:00)) https://hatena.g.hatena.ne.jp/hatenafotolife/20120413/1334309409

[6] プライベートな写真を認証鍵付きURLで共有できるようになりました - はてなフォトライフ日記 - 機能変更、お知らせなど ( (2016-05-21 10:49:53 +09:00)) https://hatena.g.hatena.ne.jp/hatenafotolife/20080822/1219378202

[7] ヘルプ - はてなフォトライフ (2016-07-05 16:24:30 +09:00) http://f.hatena.ne.jp/help

はてなフォトライフを非公開でご利用の場合も、画像や動画のファイル名を直接指定した場合は閲覧が可能です。同様に、フォルダに対して認証を設定している場合も認証URLを直接指定することでフォルダの閲覧が可能となります。通常、ファイル名や認証URLを第三者が確認することはできませんが、情報のお取り扱いには十分ご注意ください。特に、認証URLが不特定多数に公開されていることが確認された場合、安全のために認証キーを変更しアクセスできなくすることがあります。

[8] Telegram Bot API (2016-10-03 19:13:34 +09:00) https://core.telegram.org/bots/api

Each bot is given a unique authentication token when it is created. The token looks something like 123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11, but we'll use simply <token> in this document instead. You can learn about obtaining tokens and generating new ones in this document.
Making requests
All queries to the Telegram Bot API must be served over HTTPS and need to be presented in this form: https://api.telegram.org/bot<token>/METHOD_NAME. Like this for example:
https://api.telegram.org/bot123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11/getMe

[9] 記事の外部共有とLaTeX記法による数式表示に対応しました - Kibela Blog (2017-05-24 16:10:40 +09:00) http://blog.kibe.la/entry/2017/04/11/154057

[11] Beaker | Peer-to-peer Web browser. No blockchain required. (2018-02-05 22:36:49 +09:00) https://beakerbrowser.com/

Dat URLs are effectively unguessable and are never sent over the network, so only people you share the URL with will be able to download your site’s files.

[12] WebSub (2018-01-23 01:01:39 +09:00) https://w3c.github.io/websub/#subscription-parameter-details

The callback URL SHOULD be an unguessable unique URL ([capability-urls])

[13] Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる | スラドセキュリティ (2019-09-13 09:13:59 +09:00) https://security.srad.jp/story/19/09/12/1548224/

[15] PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 | スラド IT (2021-07-11T00:10:00.000Z) https://it.srad.jp/story/21/07/10/0343216/

[16] CheenaさんはTwitterを使っています「PR TIMES、この感じならまあクエリいじって片っぱしからダウンロード試みることできそうだな https://t.co/ZmvYz6VvOR」 / Twitter (午後10:00 · 2021年7月9日 +09:00, 2021-07-10T12:29:52.000Z) https://twitter.com/cheenanet/status/1413483229831516161

[17] malaさんはTwitterを使っています「何が言いたいかというと、長くて総当り困難なことに依存している秘密のURLによる限定公開が、短縮URLの使用によって(短縮URLは短くするのが仕事なので)、前提がぶっ壊れることがあるので注意したほうがいいです。」 / Twitter (午後6:18 · 2021年7月19日 +09:00, 2021-07-25T07:37:28.000Z) https://twitter.com/bulkneets/status/1417051179356278787

[18] 関連: ふるさとチョイス