更新 2014年5月21日作成 2010年5月1日

高木先生と河野先生がバトルなう

携帯端末IDに関する高木先生(@HiromitsuTakagi)と河野先生(@shinji_kono)の論争がhttp://slashdot.jp/~TarZ/journal/506044 で話題になっていましたので簡単にまとめてみました。 http://slashdot.jp/comments.pl?sid=493572&cid=1757459 にも別の方のまとめ(コメント付き)があります。

themeofn
11223
2
0
54
2

14

前へ 1 2 3 次へ

SSL非対応の端末しか持っていない人のために非SSL環境を用意するのは致し方ないとして、「SSL非対応の人がいるから」とSSL環境を用意しないのは言い訳になるのかね？

2010-04-30 19:44:27

Shinji Kono @shinji_kono

どうしようもないっていうか、セキュリティとかって、こういうのをなんとかする学問なんじゃないかとも思う。QT IE6、企業でまだまだ現役 http://slashdot.jp/it/article.pl?sid=10/04/29/0150243

2010-04-30 19:47:07

Shinji Kono @shinji_kono

@bombarous そんな、条件とかに何も制限付けないで、良く「認証が脆弱」とか、そういうこと言うことが良く出来るなぁ。機種IDを使ってもセキュアな認証は可能だと思う。

2010-04-30 20:00:15

@shinji_kono どのようにすればセキュアに実装できるのでしょうか？

2010-04-30 20:15:20

ううん、どんなにセキュアに作っても「ユーザーがパスワードを公開しないこと」とか「ユーザーが二重人格でないこと」とか、色々条件は必要だなあ。セキュリティは難しい。

2010-04-30 20:29:31

Shinji Kono @shinji_kono

@bombarous 僕はいくつか思いつくけど。CHAPとかでも良いし。機種ID と、ユーザがパスワード覚えているのと本質的に差があるわけじゃないよね。パスワード裸で送るとかは良くないとしても、パスワードがダメとは言わないでしょ。推測し易さとかも程度問題だと思う。

2010-04-30 20:32:12

@shinji_kono パスワードと比較して、ものすごく推測しやすいと思います。CHAP使っても元値がダダ漏れでは意味が無いと思いますが。

2010-04-30 20:42:59

WebアプリにCHAPってどうやって実装するんだろう。JavaScript? それとも携帯自体に実装するんだろか。

2010-04-30 20:46:11

@shinji_kono もう少し具体的に言うと、フォーマットと文字長・文字種が一定で、何と言ってもどのサイトにも同一の値が送られています。変更もできません。程度問題の範囲を超えているかと

2010-04-30 20:48:37

Shinji Kono @shinji_kono

@bombarous それはさパスワードが8文字以下の英数字とかと同程度だと思う。それで容認出来るものもあるってぐらい。

2010-04-30 21:03:04

Shinji Kono @shinji_kono

ちなみに、元々の主張は「機種IDを追放するのは難しいし、機種IDを得るAPIがある状況でそれを認証に使うことを禁止するには「機種ID追放」と言うスローガンはうまく働かないのではないか」です。

2010-04-30 21:05:20

Shinji Kono @shinji_kono

機種IDをURLに載せたり、固定パケットに安易なencodeで送るってのは良くないだろってのは、そう思う。別に機種ID認証に賛成しているわけではないです。

2010-04-30 21:07:20

@shinji_kono 8文字以下の英数字と比べても、強度計算をするまでもなく脆弱ですよね？ "8文字の数字"なら分かりますが。

2010-04-30 21:11:33

@shinji_kono SSLv2は、SSLv2にしか対応していない端末がまだ残ってたり、SSLv2に対応したモジュールもたくさんありますが、もはや現役ではないですよね。

2010-04-30 21:15:59

誰か代わりに英数字8文字以下とユーザ識別IDの強度比較してください。天文的な違いが出ると思うけど、残業代も出ないのでやる気おきません（ぉ

2010-04-30 21:23:07

ていうか、外部に漏洩している時点で強度比較のしようがないんだけど。

2010-04-30 21:23:49

俺がパソコンから離れないので嫁さんおかんむり。

2010-04-30 21:25:18

@shinji_kono エンコード前の利用者識別IDが漏洩しているのなら、どうエンコードしても成りすまされませんか？

2010-04-30 21:34:59

しーやん @c_nyan

@shinji_kono 機種IDはどのサイトに対しても同じものが使われます. パスワードを覚えさせている場合は、サイトごとにパスワードが変えれます. 全然同一視できないと思うんですけど

2010-05-01 00:43:16

Shinji Kono @shinji_kono

@c_nyan 僕は機種IDで十分と主張する気はないけど、サイト毎に異なるパスワードを要求することがユーザに取って幸せとも思わない。それはキーが異なれば良いと言うことなら、同じ機種ID で異なるキーを管理すると言うのもあり得ると思う。

2010-05-01 03:17:01

しーやん @c_nyan

@shinji_kono 「同じ機種ID で異なるキーを管理すると言うのもあり得ると思う」といわれても現実として実装がそうなっていないわけですし、それをした場合にはそれは機種ID方式とは呼ばれないと思いますよ

2010-05-01 06:13:52

しーやん @c_nyan

@shinji_kono 後は機種IDから生成された、サイト毎には違うキーだったとしても、ユーザが変更できない場合には、何らかの形で漏れた(DNSリバインディング攻撃とか)時に困りますよね. まともな一方行関数を使われていれば影響は1サービスに閉じるので生の機種IDよりマシですが

2010-05-01 06:28:59

しーやん @c_nyan

なんかアレだな. 修正機種ID方式が安全かどうかをどこまで検証したのかも疑わしい(脇の甘い発言だらけだし)し、それをしてたとしてもその正しい実装の周知を終えるまでは機種ID方式 dis キャンペーンの前に立ちふさがってはいけない(そうしないとダメ実装が増える)という認識もなさそう

2010-05-01 07:04:57

しーやん @c_nyan

そりゃ高木先生に「よくそんなんで大学の情報系で教えてられるわ」と罵倒されるよ

2010-05-01 07:05:23

しーやん @c_nyan

まあ、つぶやきにどこまで責任/真剣さをもつのっていう話もあるけど、dis キャンペーンに立ちふさがる形で参入しているから、非難は免れえないよなあ・・・

2010-05-01 07:08:49

前へ 1 2 3 次へ

いま話題のタグ

DAIGO151 言語2181 読書1332 自民党2570 海外旅行1384 マナリス15 シティーハンター84 りりちゃん8 超算数45 刀剣乱舞2625 ペンネーム29 ネットスラング122 日本語1614 電車3614 転職1781