高木先生と河野先生がバトルなう
携帯端末IDに関する高木先生(@HiromitsuTakagi)と河野先生(@shinji_kono)の論争がhttp://slashdot.jp/~TarZ/journal/506044 で話題になっていましたので簡単にまとめてみました。
http://slashdot.jp/comments.pl?sid=493572&cid=1757459
にも別の方のまとめ(コメント付き)があります。
by themeofn10 fav 5080 view
まとめ
メニューを開く-
まず広めなくてはいけないのは、契約者固有IDが無くても「簡単ログイン」は実現できる(一部の機種を除いて)という認識。「IDがなくなると簡単ログインできなくなるじゃん」と言わせないようにすること。 -
そもそも「簡単ログイン」ボタンがあるUIがおかしい。だって、押せば入れるんだから事実上それは「ログアウト不可」状態なんであって、だったらはじめっから入りっぱなしでいいわけで、ボタンがある意味が無い。なんでこんなのが広まっているのか。で、PCではそれをcookieで実現してきた。
-
これホント大事ですから、みなさんよろしくおねがいしますよ。
-
@HiromitsuTakagi 端末IDは単一性を持っているけど、通常のIDは複製譲渡可能。その辺りはどう解決するの? -
@shinji_kono 質問が抽象的すぎて答えられません。
-
@HiromitsuTakagi 端末IDの用途って、購入したものを、その端末に結びつけることだと思う。簡単 login のためだけではないです。端末は単一で複製不可能。そういう性質は、どうやって実現するのかっていう質問です。
-
@shinji_kono ユーザIDでいいでしょう。で?
-
@HiromitsuTakagi ユーザIDは意図的に人に渡せるので複数の端末に結びつけられてしまいます。端末IDは端末に結びついているから、そういうことは起きない。
-
@shinji_kono 何か問題でも?(だからさー、ちゃんと目的とか前提とか示して語れよ。15年経ってもfjのときから何も進歩してないんだな。)
-
@HiromitsuTakagi うーん、だからユーザIDでは出来ない端末IDで可能なサービス(端末に対する著作物の販売とか)とかがある限り、端末ID認証は無くならないって言ってるんだけど。
-
久しぶりに、mohta さんの「So what?」を聞いた。
-
@shinji_kono iTunesストアはメールアドレスに紐付けてますが何か?
-
@HiromitsuTakagi iTunes は機器IDで5台までと言う制限を付けてます。iPodも機器を判定して別なものに同期しようとするとそう入れ替えです。サーバのみにデータを置くもの以外は結構、端末IDから逃げるのは難しい。
-
@shinji_kono で、誰が端末ID自体をなくせと言っているの?
-
@HiromitsuTakagi 端末IDなくすのは難しい。端末IDあったら、それで認証するサービスを無くすのは難しいと思う。セキュリティの強度の問題だから、弱い物を選択するのはありだよね。
-
@shinji_kono 認証とは何のことですか?
-
@shinji_kono 「端末IDなくすのは難しい」となぜ「それで認証するサービスを無くすのは難しい」のですか?(「認証」とは何のことを指すのかを明確化した上で語ること。)
-
@HiromitsuTakagi 認証ってなんなのかっては、難しいから撤退します。ごめんね。
-
認証とは何か抽象論を聞いてるんじゃなくて、あんたが語ってるときに指している「認証」は何かを聞いてるんだから答えられるだろ。アホか。相変わらずあんたと話すのは時間の無駄だ。QT @shinji_kono 認証ってなんなのかっては、難しいから撤退します。ごめんね。
-
@HiromitsuTakagi まぁ、そうかも。簡単ログインとかの問題点は理解しているつもりだけど、やってしまうのも理解出来る。端末IDによるログインだからダメとは一概には言えない。sshのkeyにパスワードを付けるかとかと似ている。
-
ハア? どこが、sshのkeyにパスワードを付けないことと同列なわけ? よくそんなんで大学の情報系で教えてられるわ。QT @shinji_kono 端末IDによるログインだからダメとは一概には言えない。sshのkeyにパスワードを付けるかとかと似ている。
-
微妙に端末IDの話が続いているのか。現状で端末IDが必須なサービスがあるってのは良いんだよね。で、端末IDを単純送信するような簡単ログインみたいなものを使うのは良くないってことでしょ? それは詐称が容易とか変更出来ないとか一つしかないとかがあるからってことね。
-
端末ID送信による認証が良くない場合は実は限定されているし、ユーザ側にも利便性があるから、「端末IDやめよう」ぐらいでは説明として足りないと思う。無くても出来るから無くせだったら強力だと思うけど、そうではない。「ユーザIDで全部出来る」と言うは間違いだから。
-
しかし高木さんみたいな罵倒する議論のスタイルがいまだに生き残っていると言うのが不思議。パネルセッションで質問したら逆ギレされたこともある。ま、僕がそういうのを引きつけていることも確かだが。
-
@shinji_kono 条件が限定されるなら、セキュリティの根幹たる認証が脆弱であってもよいのでしょうか。それこそ説明として納得できませんが。お考えの「良くない場合」も教えてください。 -
Content from Twitter
コメント