高木先生と河野先生がバトルなう
SSL非対応の端末しか持っていない人のために非SSL環境を用意するのは致し方ないとして、「SSL非対応の人がいるから」とSSL環境を用意しないのは言い訳になるのかね?
2010-04-30 19:44:27どうしようもないっていうか、セキュリティとかって、こういうのをなんとかする学問なんじゃないかとも思う。QT IE6、企業でまだまだ現役 http://slashdot.jp/it/article.pl?sid=10/04/29/0150243
2010-04-30 19:47:07@bombarous そんな、条件とかに何も制限付けないで、良く「認証が脆弱」とか、そういうこと言うことが良く出来るなぁ。機種IDを使ってもセキュアな認証は可能だと思う。
2010-04-30 20:00:15ううん、どんなにセキュアに作っても「ユーザーがパスワードを公開しないこと」とか「ユーザーが二重人格でないこと」とか、色々条件は必要だなあ。セキュリティは難しい。
2010-04-30 20:29:31@bombarous 僕はいくつか思いつくけど。CHAPとかでも良いし。機種ID と、ユーザがパスワード覚えているのと本質的に差があるわけじゃないよね。パスワード裸で送るとかは良くないとしても、パスワードがダメとは言わないでしょ。推測し易さとかも程度問題だと思う。
2010-04-30 20:32:12@shinji_kono パスワードと比較して、ものすごく推測しやすいと思います。CHAP使っても元値がダダ漏れでは意味が無いと思いますが。
2010-04-30 20:42:59@shinji_kono もう少し具体的に言うと、フォーマットと文字長・文字種が一定で、何と言ってもどのサイトにも同一の値が送られています。変更もできません。程度問題の範囲を超えているかと
2010-04-30 20:48:37@bombarous それはさパスワードが8文字以下の英数字とかと同程度だと思う。それで容認出来るものもあるってぐらい。
2010-04-30 21:03:04ちなみに、元々の主張は「機種IDを追放するのは難しいし、機種IDを得るAPIがある状況でそれを認証に使うことを禁止するには「機種ID追放」と言うスローガンはうまく働かないのではないか」です。
2010-04-30 21:05:20機種IDをURLに載せたり、固定パケットに安易なencodeで送るってのは良くないだろってのは、そう思う。別に機種ID認証に賛成しているわけではないです。
2010-04-30 21:07:20@shinji_kono SSLv2は、SSLv2にしか対応していない端末がまだ残ってたり、SSLv2に対応したモジュールもたくさんありますが、もはや現役ではないですよね。
2010-04-30 21:15:59@shinji_kono 機種IDはどのサイトに対しても同じものが使われます. パスワードを覚えさせている場合は、サイトごとにパスワードが変えれます. 全然同一視できないと思うんですけど
2010-05-01 00:43:16@c_nyan 僕は機種IDで十分と主張する気はないけど、サイト毎に異なるパスワードを要求することがユーザに取って幸せとも思わない。それはキーが異なれば良いと言うことなら、同じ機種ID で異なるキーを管理すると言うのもあり得ると思う。
2010-05-01 03:17:01@shinji_kono 「同じ機種ID で異なるキーを管理すると言うのもあり得ると思う」といわれても現実として実装がそうなっていないわけですし、それをした場合にはそれは機種ID方式とは呼ばれないと思いますよ
2010-05-01 06:13:52@shinji_kono 後は機種IDから生成された、サイト毎には違うキーだったとしても、ユーザが変更できない場合には、何らかの形で漏れた(DNSリバインディング攻撃とか)時に困りますよね. まともな一方行関数を使われていれば影響は1サービスに閉じるので生の機種IDよりマシですが
2010-05-01 06:28:59なんかアレだな. 修正機種ID方式が安全かどうかをどこまで検証したのかも疑わしい(脇の甘い発言だらけだし)し、それをしてたとしてもその正しい実装の周知を終えるまでは機種ID方式 dis キャンペーンの前に立ちふさがってはいけない(そうしないとダメ実装が増える)という認識もなさそう
2010-05-01 07:04:57まあ、つぶやきにどこまで責任/真剣さをもつのっていう話もあるけど、dis キャンペーンに立ちふさがる形で参入しているから、非難は免れえないよなあ・・・
2010-05-01 07:08:49