<前の日記(2010年03月13日) 次の日記(2010年03月16日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 570   昨日: 2811

2010年03月14日

docomo IDを作ると生でパスワードを保管されてしまう

docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。

画面キャプチャ
図1: NTTドコモの「ID/パスワードをお忘れの方」より

これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。

ドコモの技術者たちは何をやっているのか。技術のわからない企画屋に言われるがままに、くちごたえすることもなくただただ従順に作業するしか能のない人たちばかりなの? 同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。作り方まで企画屋の言いなりになるなら、何のための技術者か。

そんな人たちばかりでやっているから、iモードID送信も止めることができなかったのではないのか。電話は社会の根幹をなす「重要インフラ」ですよ。それがこんな調子で突き進んで行ったら、いずれ皆が迷惑することになる。なんとかしてください。*2

日本の携帯電話はいつになったらアドレスバーを付けてくれるの?

  • mixiではなく「mixy」 偽サイトが携帯で乱立 詐欺?, 産経新聞, 2010年3月9日

    「mixi」や「GREE」などのソーシャルネットワーキングサービス(SNS)に酷似した携帯電話向けの偽サイトが、昨年末以降、相次いで確認されている。(略)

    mixiによると、会員のうち携帯からサイトを利用しているのは約7割。mixiの偽サイトが林立する状況について「パソコンに比べ、携帯はアクセスしたサイトのURLが確認しづらいため、画面デザインが似ていると公式サイトかどうかが見分けにくい。この点が悪用されているのではないか」(広報担当)と分析している。

というニュースが出ている。昨年夏、ドコモはブラウザを「iモード 2.0」に生まれかわらせたというのに、アドレスバーは取り付けられなかったようだ。画面が狭いので搭載できないという言い訳はもはや通用しないほど画面は広くなっている。いくらでもやり方はあるのにだ。

アドレスバーの必要性はこれまでさまざまな関係者の方々に何年にも渡って常に言い続けてきた。NetFrontの製造元、ACCESS社の鎌田社長(当時CTO)に直接進言したこともあるが、キャリア次第という話だった。ここでも日本の技術者に正義を通す力はないのか。

ならば、ミクシィなどのユーザ企業から強く要請したらいいのにと思うところなわけだが、しかし、次の記事を見ると、ミクシィの認識も滅茶苦茶だ。

  • フィッシング対策の現場から: インタビュー 第1回:今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏, フィッシング対策協議会, 2009年7月27日

    (略)株式会社ミクシィ コーポレートデザイン室 情報セキュリティグループ マネージャ (CISSP) 軍司祐介氏に聞いた。

    (略)

    携帯キャリアや端末メーカーとの連携に期待

    また、mixiへのアクセスはPCから携帯電話にシフトしています。アクセス数でいけば、携帯電話からのアクセスはPCのそれの2.5倍くらいになります。すでにmixiの携帯電話サイトをターゲットにしたフィッシングも確認されています。一般的に携帯電話は、画面が小さい、ページのデザインなどがPC よりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。

    画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。

    この問題への対策は、携帯電話の通信事業者や端末メーカーとの連携が重要になってくると思います。その意味では、フィッシング対策協議会のような組織が、携帯電話事業者も巻き込んでそのような議論を交わしたり、携帯電話サイトのセキュリティも意識したHTMLの仕様策定などがあってもよいのではないかと考えています。

    ――貴重なご意見をありがとうございます。今後の活動の参考になります。本日はありがとうございました。

ハァ?「HTMLの仕様」? そんなもので対策できるわけがないってことが、まだわからないの? 「事前に確認」?「マウスをリンクにロールオーバーさせてURLを確認できる画面設計」ですって? も、もしかして、このCISSPの方、事前に確認しているの?

だいたい、インタビューしたフィッシング対策協議会も、そのまま掲載するんじゃなくて、ちゃんと教えてあげなよ。ま、まさか、フィッシング対策協議会が携帯電話事業者や端末メーカーと連携して、「HTMLの仕様」の提案? そんなことだけはないと願いたい。*3

*1 可逆変換しての保管を含む。

*2 他にも、設計上の重大な問題がある。仕様だとして脆弱性と認められない可能性があるが、9日に脆弱性届出窓口に通報した。これについては後日。

*3 というか、後で問い質す。

本日のTrackBacks(全11件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20100314]

高木浩光氏が、docomo IDを作ると生でパスワードを保管されてしまう( http://takagi-hiromitsu.jp/diary/20100314.html#p01 )という記事を書いている。docomoのインターネットセキュリティに関するスジの悪さは何なんでしょうね…。 さて、最近似たようなことに出くわした

"同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。"
"作り方まで企画屋の言いなりになるなら、何のための技術者か。"
と高木浩...

アドレスバーが無くて サイトのアドレスが表示されないと 見た目がそっくりだったら 偽サイトだって気づかないですよね。 ということに 皆さんは気づいてましたか? "高木浩光@自宅の日記" "日本の携帯電話はいつになったらアドレスバーを付けてくれるの?" を読んで自分..

E9のJSエンジン速度はFirefox 3.6よりも早くなっている - 2010年3月17日〜23日のHidehisa's Tweets

検索

<前の日記(2010年03月13日) 次の日記(2010年03月16日)> 最新 編集

最近のタイトル

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|
<前の日記(2010年03月13日) 次の日記(2010年03月16日)> 最新 編集