reoによる
2011年06月09日 11時30分の掲載
すりかえておいたのさ部門より
すりかえておいたのさ部門より
ある Anonymous Coward 曰く、
こちらのつぶやきで知ったが、KDDI の技術情報によれば、au 携帯における「EZ 番号はスマートフォン等では詐称可能なため、ユーザー認証に用いる場合には、EZ 番号と併せて EZ サーバの IP アドレス等、複数手段で確認してください」という文章が追加されたようだ。詐称可能と公表するなら、ユーザー認証には使わないことを推奨した方がいいかと思うのだが、如何なものだろうか。
さっそく高木先生が物騒なことをつぶやいています。
関連ストーリー
Firehose:KDDI au、EZ番号は詐称可能なため、複数手段の認証を推奨 by Anonymous Coward
ウイルス作成罪 (スコア:2, おもしろおかしい)
ユーザーや開発者のためじゃなくて単なる保身。
コメントを書く
IPAは空気なのか (スコア:1, 参考になる)
コメントを書く
書き方がおかしい。 (スコア:1)
> EZ 番号と併せて EZ サーバの IP アドレス等、
って言い方をするってことは、auのスマートフォンはEZサーバを経由しないってことでしょ?
現にグローバルIPアドレスが振られているわけだしさ。
正しくは「EZ 番号は(対タンパ性を十分とするなら)auのガラケー以外では詐称可能なため」じゃないの。
# そもそもHTTPでもHTTPSでも同じ値が送信されるX_UP_SUBNO HTTPヘッダでユーザー認証とか狂気の沙汰。
コメントを書く
Re:書き方がおかしい。 (スコア:1)
IPアドレス帯域 [kddi.com]
コメントを書く
親コメント
なんじらガラケーくそして寝ろ (スコア:1)
コメントを書く
必殺仕事人?(おふとぴ) (スコア:2)
高木センセは普段三味線の張り替えを生業としているのでしょうか。
待たせたな!
コメントを書く
親コメント
Re:「吊るせる」って、あーた (スコア:1)
> そういえば上記の人たちと違うのは、頼まれもしないのにやってくるというとこか...
そう。上記の人たちは「頼まれて」やってくる。
つまり大半は「お客様」に対して問題指摘をするんだから、そりゃ丁寧ですよ。
そうでなくても「頼んできた相手」つまり積極的に話を聞こうとしている相手に
話すだけだから、語気を強くしなくても、聞いてくれる。
逆に。
基本的に話を聞かない(聞かないからセキュリティ問題を放置している)相手の
耳目をいかに集める手段として、「すごくえらっそうに振舞ってみせる」
というのは、比較的お手軽で有効に思える。
実際こうやって意識の低そうな人からのコメントもきたわけだし。
その先さらに、「問題を正しく認識させる」までのハードルは多そうだけど。
コメントを書く
親コメント
Re:「吊るせる」って、あーた (スコア:1)
コメントを書く
親コメント
Re:「吊るせる」って、あーた (スコア:1)
個人的には、高木先生に限ってはその心配は無用と思いますが、気になるならご確認下さい。
まあ、言うだけなら自由ですし。その発言を、事情をそれなりに追いかけてる人が「これで高木先生勝てる!やった!がんばれ!」と思うか、初見の人が「なに言ってるんだこのおっさん?」と思うか、そこまでコントロールしたいならもうちょっと慎重な発言が必要でしょうけど。
コメントを書く
親コメント