2010年03月14日
■ docomo IDを作ると生でパスワードを保管されてしまう
- docomo IDについて, NTTドコモ
- My docomo-新規登録:ご登録前の準備, NTTドコモ
docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。
これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。
- 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日
こんなこと口が裂けても言えないし
転職しても言えないし
墓場まで持っていくしかない
自分が今の会社にいる間に爆発しないことを祈るだけ - ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚, Web屋のネタ帳, 2008年8月12日
- パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う, Web屋のネタ帳, 2008年10月1日
ドコモの技術者たちは何をやっているのか。技術のわからない企画屋に言われるがままに、くちごたえすることもなくただただ従順に作業するしか能のない人たちばかりなの? 同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。作り方まで企画屋の言いなりになるなら、何のための技術者か。
そんな人たちばかりでやっているから、iモードID送信も止めることができなかったのではないのか。電話は社会の根幹をなす「重要インフラ」ですよ。それがこんな調子で突き進んで行ったら、いずれ皆が迷惑することになる。なんとかしてください。*2
■ 日本の携帯電話はいつになったらアドレスバーを付けてくれるの?
- mixiではなく「mixy」 偽サイトが携帯で乱立 詐欺?, 産経新聞, 2010年3月9日
「mixi」や「GREE」などのソーシャルネットワーキングサービス(SNS)に酷似した携帯電話向けの偽サイトが、昨年末以降、相次いで確認されている。(略)
mixiによると、会員のうち携帯からサイトを利用しているのは約7割。mixiの偽サイトが林立する状況について「パソコンに比べ、携帯はアクセスしたサイトのURLが確認しづらいため、画面デザインが似ていると公式サイトかどうかが見分けにくい。この点が悪用されているのではないか」(広報担当)と分析している。
というニュースが出ている。昨年夏、ドコモはブラウザを「iモード 2.0」に生まれかわらせたというのに、アドレスバーは取り付けられなかったようだ。画面が狭いので搭載できないという言い訳はもはや通用しないほど画面は広くなっている。いくらでもやり方はあるのにだ。
アドレスバーの必要性はこれまでさまざまな関係者の方々に何年にも渡って常に言い続けてきた。NetFrontの製造元、ACCESS社の鎌田社長(当時CTO)に直接進言したこともあるが、キャリア次第という話だった。ここでも日本の技術者に正義を通す力はないのか。
ならば、ミクシィなどのユーザ企業から強く要請したらいいのにと思うところなわけだが、しかし、次の記事を見ると、ミクシィの認識も滅茶苦茶だ。
-
フィッシング対策の現場から: インタビュー 第1回:今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏, フィッシング対策協議会, 2009年7月27日
(略)株式会社ミクシィ コーポレートデザイン室 情報セキュリティグループ マネージャ (CISSP) 軍司祐介氏に聞いた。
(略)
携帯キャリアや端末メーカーとの連携に期待
また、mixiへのアクセスはPCから携帯電話にシフトしています。アクセス数でいけば、携帯電話からのアクセスはPCのそれの2.5倍くらいになります。すでにmixiの携帯電話サイトをターゲットにしたフィッシングも確認されています。一般的に携帯電話は、画面が小さい、ページのデザインなどがPC よりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。
画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。
この問題への対策は、携帯電話の通信事業者や端末メーカーとの連携が重要になってくると思います。その意味では、フィッシング対策協議会のような組織が、携帯電話事業者も巻き込んでそのような議論を交わしたり、携帯電話サイトのセキュリティも意識したHTMLの仕様策定などがあってもよいのではないかと考えています。
――貴重なご意見をありがとうございます。今後の活動の参考になります。本日はありがとうございました。
ハァ?「HTMLの仕様」? そんなもので対策できるわけがないってことが、まだわからないの? 「事前に確認」?「マウスをリンクにロールオーバーさせてURLを確認できる画面設計」ですって? も、もしかして、このCISSPの方、事前に確認しているの?
だいたい、インタビューしたフィッシング対策協議会も、そのまま掲載するんじゃなくて、ちゃんと教えてあげなよ。ま、まさか、フィッシング対策協議会が携帯電話事業者や端末メーカーと連携して、「HTMLの仕様」の提案? そんなことだけはないと願いたい。*3
高木浩光氏が、docomo IDを作ると生でパスワードを保管されてしまう( http://takagi-hiromitsu.jp/diary/20100314.html#p01 )という記事を書いている。docomoのインターネットセキュリティに関するスジの悪さは何なんでしょうね…。 さて、最近似たようなことに出くわした
"同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。"
"作り方まで企画屋の言いなりになるなら、何のための技術者か。"
と高木浩...
アドレスバーが無くて サイトのアドレスが表示されないと 見た目がそっくりだったら 偽サイトだって気づかないですよね。 ということに 皆さんは気づいてましたか? "高木浩光@自宅の日記" "日本の携帯電話はいつになったらアドレスバーを付けてくれるの?" を読んで自分..
E9のJSエンジン速度はFirefox 3.6よりも早くなっている - 2010年3月17日〜23日のHidehisa's Tweets
- スラド ×3 : 1, 1, 1 (2023-04-01)
- セキュリティホールmemo ×3579 : 3256, 288, 28, 3, 2, 1, 1 (2023-01-14)
- https://www.google.co.jp ×19 (2015-09-09)
- スラドarticle [10/04/06/0655212] ×26 (2015-05-15)
- スラッシュドットarticle [10/04/06/0655212] ×919 : 414, 333, 94, 51, 14, 6, 3, 2, 1, 1 (2014-03-12)
- はてなブックマークコメント ×225 : 160, 50, 5, 4, 3, 2, 1 (2013-10-12)
- http://yanagisawa.hatenablog.com/entry/20120102/p1 ×6 (2012-12-04)
- スラッシュドット ×19 : 10, 5, 2, 1, 1 (2012-09-28)
- http://www.bing.com/search?q=高木浩光 軍司祐介&src=IE-SearchBox&FORM... ×4 (2012-05-09)
- http://search.smt.docomo.ne.jp/result?MT=docomoID&SID=000&IN... ×5 (2012-04-03)
- はてなダイアリー [m_yanagisawa 20120102] ×14 : 11, 3 (2012-01-15)
- 2ちゃんねる掲示板 [phs 1266689695] ×6 : 5, 1 (2011-06-06)
- http://neta.ywcafe.net/001187.html ×242 (2011-05-14)
- http://neta.ywcafe.net/2011/05/ ×99 (2011-05-13)
- スラッシュドットjournal [90] ×63 : 39, 19, 4, 1 (2011-05-09)
- http://neta.ywcafe.net/001184.html ×1536 (2011-05-08)
- はてなブックマークコメント [anond.hatelabo.jp/20100102215934] ×7 (2011-01-06)
- http://neta.ywcafe.net/001142.html ×106 (2010-11-16)
- http://neta.ywcafe.net/001141.html ×40 (2010-11-15)
- Seesaaブログ [nabemono] ×3 : 2, 1 (2010-10-22)
- http://www.igalog.net/xoops/modules/xpress ×6 (2010-10-11)
- http://spysee.jp/軍司祐介/1626494/ ×5 (2010-07-14)
- Twitter [kskmt] ×2 : 1, 1 (2010-06-07)
- ime.nu /20100314.html ×8 (2010-05-14)
- http://izu.i-ra.jp/e213664.html ×10 (2010-05-11)
- スラッシュドットcomments [490692] ×217 : 67, 31, 18, 17, 11, 10, 9, 9, 5, 4, 4, 3, 3, 2, 2, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2010-05-10)
- http://igalog.net/xoops/modules/xpress ×33 (2010-05-03)
- はてなブックマークコメント [s/i.mydocomo.com/docomoid/utility/o-1_1.html] ×5 (2010-04-28)
- mixi diary [37698] ×12 (2010-03-25)
- 2ちゃんねる掲示板 [phs 1259903490] ×3 : 1, 1, 1 (2010-03-22)
- Tumblr [hexe] ×2 : 1, 1 (2010-03-22)
- fc2 blog [kaizen2.blog86] ×5 : 4, 1 (2010-03-19)
- はてなダイアリー [tarotarorg 20100315] ×4 (2010-03-18)
- http://roguer.posterous.com/-docomo-id ×6 (2010-03-17)
- はてなダイアリー [JULY 20100317] ×5 (2010-03-17)
- http://dnets.jdn-db.net/cgi-bin/dnet/xcreport.cgi?page=crepo... ×5 (2010-03-17)
- はてなダイアリー [sib1977] ×7 (2010-03-17)
- livedoor Blog [an_square] ×4 : 3, 1 (2010-03-17)
- So-netブログ [asthenosphere] ×4 (2010-03-16)
- http://phpspot.org/blog/archives/2010/03/2010315.html ×180 (2010-03-16)
- mew5.com ×48 : 47, 1 (2010-03-16)
- jcom.home.ne.jp [sarasiru] ×517 : 386, 123, 8 (2010-03-16)
- http://tech.newzia.jp/newzia/article/15736 ×4 (2010-03-16)
- http://demo35.ultinet.jp/cgi-bin/dnet/xforum.cgi?page=foruma... ×6 (2010-03-16)
- Twitter [sakatori] ×11 (2010-03-15)
- Twitter [HiromitsuTakagi] ×4 (2010-03-15)
- はてなダイアリー [tarotarorg] ×2 : 1, 1 (2010-03-15)
- Twitter [hatebu] ×28 : 25, 2, 1 (2010-03-15)
- http://133.154.49.84/sns/?m=pc&a=page_fh_diary&target_c_diar... ×8 (2010-03-15)
- Twitter [taknom] ×2 : 1, 1 (2010-03-15)
- http://blogs.wankuma.com/shuujin/ ×82 (2010-03-15)
- http://blogs.wankuma.com/shuujin/archive/2010/03/15/187132.a... ×138 (2010-03-15)
- http://dishsns.is.nttdocomo.co.jp/sns/index.php?command=geta... ×47 (2010-03-15)
- http://zapanet.info/new/hatebu4/ ×5 (2010-03-15)
- http://www.geocities.jp/twicli/twicli.html ×7 (2010-03-15)
- http://133.83.35.54/~kjm/security/memo/ ×4 (2010-03-15)
- はてなダイアリー [kogawam 20100314] ×430 (2010-03-15)
- Twitter [dosannpinn] ×2 : 1, 1 (2010-03-15)
- http://mixi.jp/recent_echo.pl ×5 (2010-03-15)
- docomo id ×207 / キーワード不明 ×132 / docomo ID ×128 / docomoID ×69 / ドコモid ×68 / ドコモID ×57 / docomoid ×44 / 軍司祐介 ×39 / docomo id 忘れた ×32 / ドコモ ID ×25 / パスワード 保管 ×24 / IDを作る ×22 / ドコモ パスワード ×21 / ドコモidとは ×20 / 携帯電話 パスワード ×19 / 携帯 パスワード ×18 / ドコモid 忘れた ×16 / ドコモ id ×15 / docomo id 確認 ×14 / docomo パスワード ×14 / docomo id パスワード ×14 / 生パスワード ×13 / docomo ID パスワード ×13 / 軍司 祐介 ×13 / ドコモidって ×12 / 高木浩光 携帯 ID ×11 / docomoid 忘れた ×11 / ドコモ id パスワード ×11 / ドコモid 確認 ×11 / docomo ×11 / 高木浩光 ×11 / ドコモidって何 ×10 / docomo id とは ×10 / 高木 携帯 ×9 / パスワード保管 ×8 / ドコモID ×8 / idを作る ×8 / docomo iD ×7 / ドコモid パスワード ×7 / 携帯パスワード ×7 / ドコモid 初期 ×6 / ドコモid いつから ×6 / id docomo ×5 / DOCOMO ID ×5 / 携帯電話 パスワード 忘れた ×5 / ドコモアプリパスワード 忘れた ×5 / docomo ID 忘れた ×5 / ドコモid 悪用 ×5 / ドコモid 初期パスワード ×5 / docomo idとは ×5 / 携帯 高木 ×5 / ドコモ ID ×5 / ドコモid パスワード 初期 ×5 / 高木浩光 docomo ×4 / mixi 軍司 ×4 / ドコモ iD ×4 / Docomo ID ×4 / 高木浩光@ 自宅の日記 ×4 / ドコモ id わからない ×4 / 高木 パスワード ×4 / ドコモid調べ方 ×4 / docomoid わからない ×4 / ドコモidパスワード ×4 / docomo id セキュリティ ×4 / dokomoID ×4 / docomo 初期パスワード ×4 / docomo ID ×4 / docomoIDとパスワード ×3 / DOCOMOID ×3 / docomo-id ×3 / 高木浩光 ドコモ ×3 / ドコモID 確認 ×3 / ドコモID 忘れた ×3 / mixi パスワ-ド 忘れた ×3 / 高木浩光 パスワード 平文 ×3 / dokomoid ×3 / DoCoMo IDの脆弱性 ×3 / ID パスワード ×3 / ドコモid いつ ×3 / 携帯 アドレスバー ×3 / docomo IDを作ると生でパスワードを保管されてしまう ×3 / パスワード ハッシュ 補完 ×3 / ドコモID 危険 ×3 / docomoidを作る 方法 ×3 / ドコモ ID パスワード ×3 / ドコモ id忘れる ×3 / 高木浩光 docomo id ×3 / docomo ID 分からない ×3 / DOCOMO携帯のidとパスワードの違い ×3 / ドコモID フィッシング ×3 / 携帯パスワード忘れたとき ×3 / 携帯ID 脆弱性 ×3 / ドコモIDとパスワードは同じなの ×3 / 携帯電話 パス ×3 / 日本の携帯電話 ×3 / 高木浩光先生 携帯ID ×3 / 高木 docomo ×3 / 携帯 パスワード 忘れた ドコモ ×2 / idをつくる ×2 / NetFront 脆弱性 ×2 / 携帯電話いつ出たか ×2 / docomo ID/パスワード ×2 / docomo ID ×2 / 高木 携帯 セキュリティ ×2 / mixi IDを作る方法 2010年 ×2 / ドコモid 危険 ×2 / docomoid いつ発行 ×2 / ドコモidとパスワードってなに? ×2 / ミクシーのパスワードってケータイのパスワード? ×2 / 高木 浩光 ×2 / 高木浩光 携帯 フィッシング ×2 / docomo idって何 ×2 / WEB屋のネタ帳 ×2 / 高木 ×2 / PC パスワードの保管 ×2 / 携帯 mixi 高木浩光 ×2 / dokomo ID ×2 / docomo id セキュリティー ×2 / docomoIDとパスワード ×2 / ドコモidパスワードを持っていないいつから ×2 / dokomoID 再発行 ×2 / docomo 携帯ID ×2 / ドコモ アドレスバー ×2 / ドコモ ID 悪用 ×2 / docomo携帯 パスワード ×2 / パスワード 高木 ×2 / 「docomo ID ×2 / 携帯電話 html パスワード ×2 / 携帯電話のアドレスとパスワード ×2 / ドコモID パスワード ×2 / "docomo ID" ×2 / 高木浩光 携帯電話 ×2 / docomoID パスワード 初期 ×2 / 2010年 携帯電話 ×2 / docomo ID 初期 ×2 / iD docomo ×2 / docomoID 高木浩光 ×2 / 携帯電話 サイト パスワード ×2 / 不可逆 パスワード 高木浩光 ×2 / ドコモID 可逆 ×2 / takagi hiromitsu 携帯 ×2 / docomoIDとは ×2 / CISSP ×2 / mydocomo 脆弱性 ×2 / 高木 携帯ID ×2 / 高木浩光 携帯 ×2 / mixi パスワード忘れ ×2 / DOCOMO パスワード ×2 / 携帯 アドレス パスワード ×2 / docomo id 脆弱性 ×2 / DoCoMoID ×2 / docomoID 暗号化 ×2 / docomo ID 高木 ×2 / Web屋のネタ帳 ×2 / 高木浩光 mixi ×2 / 携帯電話パスワード ×2 / ドコモID 悪用 ×2 / 高木 セキュリティ ×2 / ドコモ パスワード 忘れた ×2 / mydocomo パスワード 保存 ×2 / 高木 ドコモ ×2 / docomoID セキュリティ ×2 / セキュリティ 高木 軍司 ×2 / docomo 携帯 パスワード ×2 / 携帯のパスワード ×2 / ドコモ携帯のパスワードを忘れたら ×2 / https docomo id ×2 / docomo password ×2 / 携帯アドレス パスワード ×2 / -hiromitsu.jp ハッシュ パスワード 高木 ×2 / mixi再登録 DoCoMo ×2 / docomo IDでケータイ送信 ×2 / ドコモID セキュリティ ×2 / docomo id 何 ×2 / 2 in 1 docomo ×2 / 携帯電話 ID ×2 / docomo ID パスワード 忘れた ×2 / docomoIDって何 ×2 / ドコモ ID 忘れた ×2 / IDを作る ×2 / SNS パスワード takagi-hiromitu ×2 / mixi docomo ID ×2 / docomoIDパスワード ×2 / DOCOMO id ×2 / パスワード 携帯 ×2 / mixi パスワード 忘れた ×2 / docomo ID/パスワードをお忘れの方 ×2 / id ドコモ ×2 / docomo id パスワード 初期 ×2 / docomo id 初期 ×2 / docomo id忘れた ×2 / mixi 携帯 持っていない ×2 / ドコモ ID とは ×2 / my docomo ID 高木 ×2 / アドレスバー 高木 ×2 / "docomo id" ×2 / docomo UID 表示 ×2
