10周年のSPコンテンツ!

高木先生と河野先生がバトルなう

携帯端末IDに関する高木先生(@HiromitsuTakagi)と河野先生(@shinji_kono)の論争がhttp://slashdot.jp/~TarZ/journal/506044 で話題になっていましたので簡単にまとめてみました。 http://slashdot.jp/comments.pl?sid=493572&cid=1757459 にも別の方のまとめ(コメント付き)があります。
14
Hiromitsu Takagi @HiromitsuTakagi
まず広めなくてはいけないのは、契約者固有IDが無くても「簡単ログイン」は実現できる(一部の機種を除いて)という認識。「IDがなくなると簡単ログインできなくなるじゃん」と言わせないようにすること。
Hiromitsu Takagi @HiromitsuTakagi
そもそも「簡単ログイン」ボタンがあるUIがおかしい。だって、押せば入れるんだから事実上それは「ログアウト不可」状態なんであって、だったらはじめっから入りっぱなしでいいわけで、ボタンがある意味が無い。なんでこんなのが広まっているのか。で、PCではそれをcookieで実現してきた。
Hiromitsu Takagi @HiromitsuTakagi
これホント大事ですから、みなさんよろしくおねがいしますよ。
Shinji Kono @shinji_kono
@HiromitsuTakagi 端末IDは単一性を持っているけど、通常のIDは複製譲渡可能。その辺りはどう解決するの?
Hiromitsu Takagi @HiromitsuTakagi
@shinji_kono 質問が抽象的すぎて答えられません。
Shinji Kono @shinji_kono
@HiromitsuTakagi 端末IDの用途って、購入したものを、その端末に結びつけることだと思う。簡単 login のためだけではないです。端末は単一で複製不可能。そういう性質は、どうやって実現するのかっていう質問です。
Shinji Kono @shinji_kono
@HiromitsuTakagi ユーザIDは意図的に人に渡せるので複数の端末に結びつけられてしまいます。端末IDは端末に結びついているから、そういうことは起きない。
Hiromitsu Takagi @HiromitsuTakagi
@shinji_kono 何か問題でも?(だからさー、ちゃんと目的とか前提とか示して語れよ。15年経ってもfjのときから何も進歩してないんだな。)
Shinji Kono @shinji_kono
@HiromitsuTakagi うーん、だからユーザIDでは出来ない端末IDで可能なサービス(端末に対する著作物の販売とか)とかがある限り、端末ID認証は無くならないって言ってるんだけど。
Shinji Kono @shinji_kono
久しぶりに、mohta さんの「So what?」を聞いた。
Hiromitsu Takagi @HiromitsuTakagi
@shinji_kono iTunesストアはメールアドレスに紐付けてますが何か?
Shinji Kono @shinji_kono
@HiromitsuTakagi iTunes は機器IDで5台までと言う制限を付けてます。iPodも機器を判定して別なものに同期しようとするとそう入れ替えです。サーバのみにデータを置くもの以外は結構、端末IDから逃げるのは難しい。
Hiromitsu Takagi @HiromitsuTakagi
@shinji_kono で、誰が端末ID自体をなくせと言っているの?
Shinji Kono @shinji_kono
@HiromitsuTakagi 端末IDなくすのは難しい。端末IDあったら、それで認証するサービスを無くすのは難しいと思う。セキュリティの強度の問題だから、弱い物を選択するのはありだよね。
Hiromitsu Takagi @HiromitsuTakagi
@shinji_kono 「端末IDなくすのは難しい」となぜ「それで認証するサービスを無くすのは難しい」のですか?(「認証」とは何のことを指すのかを明確化した上で語ること。)
Shinji Kono @shinji_kono
@HiromitsuTakagi 認証ってなんなのかっては、難しいから撤退します。ごめんね。
Hiromitsu Takagi @HiromitsuTakagi
認証とは何か抽象論を聞いてるんじゃなくて、あんたが語ってるときに指している「認証」は何かを聞いてるんだから答えられるだろ。アホか。相変わらずあんたと話すのは時間の無駄だ。QT @shinji_kono 認証ってなんなのかっては、難しいから撤退します。ごめんね。
Shinji Kono @shinji_kono
@HiromitsuTakagi まぁ、そうかも。簡単ログインとかの問題点は理解しているつもりだけど、やってしまうのも理解出来る。端末IDによるログインだからダメとは一概には言えない。sshのkeyにパスワードを付けるかとかと似ている。
Hiromitsu Takagi @HiromitsuTakagi
ハア? どこが、sshのkeyにパスワードを付けないことと同列なわけ? よくそんなんで大学の情報系で教えてられるわ。QT @shinji_kono 端末IDによるログインだからダメとは一概には言えない。sshのkeyにパスワードを付けるかとかと似ている。
Shinji Kono @shinji_kono
微妙に端末IDの話が続いているのか。現状で端末IDが必須なサービスがあるってのは良いんだよね。で、端末IDを単純送信するような簡単ログインみたいなものを使うのは良くないってことでしょ? それは詐称が容易とか変更出来ないとか一つしかないとかがあるからってことね。
Shinji Kono @shinji_kono
端末ID送信による認証が良くない場合は実は限定されているし、ユーザ側にも利便性があるから、「端末IDやめよう」ぐらいでは説明として足りないと思う。無くても出来るから無くせだったら強力だと思うけど、そうではない。「ユーザIDで全部出来る」と言うは間違いだから。
Shinji Kono @shinji_kono
しかし高木さんみたいな罵倒する議論のスタイルがいまだに生き残っていると言うのが不思議。パネルセッションで質問したら逆ギレされたこともある。ま、僕がそういうのを引きつけていることも確かだが。
@bombarous
@shinji_kono 条件が限定されるなら、セキュリティの根幹たる認証が脆弱であってもよいのでしょうか。それこそ説明として納得できませんが。お考えの「良くない場合」も教えてください。
残りを読む(45)

コメント

xagawa @xagawa 2010年5月3日
続きを追加しときました。
Murakami @jmz 2010年5月6日
「かんたんログイン」についての警鐘一覧はこちら 「高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想」 http://takagi-hiromitsu.jp/diary/20100411.html 「高木浩光@自宅の日記 - まだまだ他でも破綻しているケータイID認証」 http://takagi-hiromitsu.jp/diary/20100427.html 「高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)」 http://takagi-hiromit
ログインして広告を非表示にする
ログインして広告を非表示にする