2010年03月14日
■ docomo IDを作ると生でパスワードを保管されてしまう 
- docomo IDについて, NTTドコモ
- My docomo-新規登録:ご登録前の準備, NTTドコモ
docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。
これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。
- 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日
こんなこと口が裂けても言えないし
転職しても言えないし
墓場まで持っていくしかない
自分が今の会社にいる間に爆発しないことを祈るだけ - ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚, Web屋のネタ帳, 2008年8月12日
- パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う, Web屋のネタ帳, 2008年10月1日
ドコモの技術者たちは何をやっているのか。技術のわからない企画屋に言われるがままに、くちごたえすることもなくただただ従順に作業するしか能のない人たちばかりなの? 同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。作り方まで企画屋の言いなりになるなら、何のための技術者か。
そんな人たちばかりでやっているから、iモードID送信も止めることができなかったのではないのか。電話は社会の根幹をなす「重要インフラ」ですよ。それがこんな調子で突き進んで行ったら、いずれ皆が迷惑することになる。なんとかしてください。*2
■ 日本の携帯電話はいつになったらアドレスバーを付けてくれるの? 
- mixiではなく「mixy」 偽サイトが携帯で乱立 詐欺?, 産経新聞, 2010年3月9日
「mixi」や「GREE」などのソーシャルネットワーキングサービス(SNS)に酷似した携帯電話向けの偽サイトが、昨年末以降、相次いで確認されている。(略)
mixiによると、会員のうち携帯からサイトを利用しているのは約7割。mixiの偽サイトが林立する状況について「パソコンに比べ、携帯はアクセスしたサイトのURLが確認しづらいため、画面デザインが似ていると公式サイトかどうかが見分けにくい。この点が悪用されているのではないか」(広報担当)と分析している。
というニュースが出ている。昨年夏、ドコモはブラウザを「iモード 2.0」に生まれかわらせたというのに、アドレスバーは取り付けられなかったようだ。画面が狭いので搭載できないという言い訳はもはや通用しないほど画面は広くなっている。いくらでもやり方はあるのにだ。
アドレスバーの必要性はこれまでさまざまな関係者の方々に何年にも渡って常に言い続けてきた。NetFrontの製造元、ACCESS社の鎌田社長(当時CTO)に直接進言したこともあるが、キャリア次第という話だった。ここでも日本の技術者に正義を通す力はないのか。
ならば、ミクシィなどのユーザ企業から強く要請したらいいのにと思うところなわけだが、しかし、次の記事を見ると、ミクシィの認識も滅茶苦茶だ。
-
フィッシング対策の現場から: インタビュー 第1回:今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏, フィッシング対策協議会, 2009年7月27日
(略)株式会社ミクシィ コーポレートデザイン室 情報セキュリティグループ マネージャ (CISSP) 軍司祐介氏に聞いた。
(略)
携帯キャリアや端末メーカーとの連携に期待
また、mixiへのアクセスはPCから携帯電話にシフトしています。アクセス数でいけば、携帯電話からのアクセスはPCのそれの2.5倍くらいになります。すでにmixiの携帯電話サイトをターゲットにしたフィッシングも確認されています。一般的に携帯電話は、画面が小さい、ページのデザインなどがPC よりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。
画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。
この問題への対策は、携帯電話の通信事業者や端末メーカーとの連携が重要になってくると思います。その意味では、フィッシング対策協議会のような組織が、携帯電話事業者も巻き込んでそのような議論を交わしたり、携帯電話サイトのセキュリティも意識したHTMLの仕様策定などがあってもよいのではないかと考えています。
――貴重なご意見をありがとうございます。今後の活動の参考になります。本日はありがとうございました。
ハァ?「HTMLの仕様」? そんなもので対策できるわけがないってことが、まだわからないの? 「事前に確認」?「マウスをリンクにロールオーバーさせてURLを確認できる画面設計」ですって? も、もしかして、このCISSPの方、事前に確認しているの?
だいたい、インタビューしたフィッシング対策協議会も、そのまま掲載するんじゃなくて、ちゃんと教えてあげなよ。ま、まさか、フィッシング対策協議会が携帯電話事業者や端末メーカーと連携して、「HTMLの仕様」の提案? そんなことだけはないと願いたい。*3
高木浩光氏が、docomo IDを作ると生でパスワードを保管されてしまう( http://takagi-hiromitsu.jp/diary/20100314.html#p01 )という記事を書いている。docomoのインターネットセキュリティに関するスジの悪さは何なんでしょうね…。 さて、最近似たようなことに出くわした
"同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。"
"作り方まで企画屋の言いなりになるなら、何のための技術者か。"
と高木浩...
アドレスバーが無くて サイトのアドレスが表示されないと 見た目がそっくりだったら 偽サイトだって気づかないですよね。 ということに 皆さんは気づいてましたか? "高木浩光@自宅の日記" "日本の携帯電話はいつになったらアドレスバーを付けてくれるの?" を読んで自分..
- fc2 blog [kaizen2.blog86] ×3 : 2, 1 (2010-03-19)
- http://ow.ly/1nKC9 ×4 (2010-03-18)
- http://com-link.kouhou.csp.nttcom.co.jp/?m=pc&a=page_fh_diar... ×19 (2010-03-17)
- http://dnets.jdn-db.net/cgi-bin/dnet/xcreport.cgi?page=crepo... ×5 (2010-03-17)
- はてなダイアリー [sib1977] ×7 (2010-03-17)
- livedoor Blog [an_square] ×2 : 1, 1 (2010-03-17)
- So-netブログ [asthenosphere] ×4 (2010-03-16)
- http://phpspot.org/blog/archives/2010/03/2010315.html ×166 (2010-03-16)
- mew5.com ×256 : 130, 80, 45, 1 (2010-03-16)
- http://pooh.gr.jp/ ×7 (2010-03-16)
- http://acom.jirox.net/ ×5 (2010-03-16)
- jcom.home.ne.jp [sarasiru] ×500 : 377, 115, 8 (2010-03-16)
- セキュリティホールmemo ×3483 : 3190, 260, 28, 3, 1, 1 (2010-03-16)
- http://tech.newzia.jp/newzia/article/15736 ×4 (2010-03-16)
- http://tech.newzia.jp/ ×8 (2010-03-16)
- http://demo35.ultinet.jp/cgi-bin/dnet/xforum.cgi?page=foruma... ×4 (2010-03-16)
- http://nlwnewg.appspot.com/ ×7 (2010-03-16)
- http://www.air-be.net/ ×4 (2010-03-16)
- Twitter [sakatori] ×11 (2010-03-15)
- Twitter [HiromitsuTakagi] ×4 (2010-03-15)
- はてなダイアリー [tarotarorg] ×2 : 1, 1 (2010-03-15)
- http://j.mp/a5L263 ×6 (2010-03-15)
- スラッシュドットjournal [90] ×55 : 36, 19 (2010-03-15)
- 2ch.net [phs 1259903490] ×2 : 1, 1 (2010-03-15)
- http://133.154.49.84/sns/?m=pc&a=page_fh_diary&target_c_diar... ×8 (2010-03-15)
- Twitter [taknom] ×2 : 1, 1 (2010-03-15)
- http://blogs.wankuma.com/shuujin/ ×10 (2010-03-15)
- http://blogs.wankuma.com/ ×47 (2010-03-15)
- http://blogs.wankuma.com/shuujin/archive/2010/03/15/187132.a... ×31 (2010-03-15)
- http://ow.ly/1kJ1j ×5 (2010-03-15)
- http://www.instapaper.com/u ×4 (2010-03-15)
- Twitter [hatebu] ×26 : 25, 1 (2010-03-15)
- http://dishsns.is.nttdocomo.co.jp/sns/index.php?command=geta... ×41 (2010-03-15)
- http://zapanet.info/new/hatebu4/ ×5 (2010-03-15)
- はてなブックマークコメント ×172 : 131, 39, 2 (2010-03-15)
- http://www.geocities.jp/twicli/twicli.html ×7 (2010-03-15)
- http://www.sleipnirstart.com/ ×48 (2010-03-15)
- http://133.83.35.54/~kjm/security/memo/ ×4 (2010-03-15)
- http://ow.ly/1kurR ×44 (2010-03-15)
- はてなダイアリー [kogawam 20100314] ×418 (2010-03-15)
- http://j.mp/9SGoxk ×4 (2010-03-15)
- Twitter [dosannpinn] ×2 : 1, 1 (2010-03-15)
- http://ff.im/-huN8e ×4 (2010-03-15)
- http://mixi.jp/recent_echo.pl ×5 (2010-03-15)
- egone.org ×7 (2010-03-15)
- http://www.alphafeeds.net/ ×4 (2010-03-15)
- http://www.feedly.com/home ×4 (2010-03-15)
- http://hootsuite.com/dashboard ×39 (2010-03-14)
- http://tinyurl.com/yhendye ×4 (2010-03-14)
- ドコモID ×6 / docomo ID ×6 / docomo IDを作ると生でパスワードを保管されてしまう ×3 / my docomo ID 高木 ×2 / 2010年 携帯電話 ×2 / ドコモ id パスワード ×2 / 高木浩光 ×2 / ドコモID 可逆 ×2 / -hiromitsu.jp ハッシュ パスワード 高木 ×2