限定公開でまとめを作れば、相互フォローやフォロワー限定でまとめを共有できます!
6
nov matake @nov
「自前のパスワード認証要求するサイトには税金かければ…」「事業者が海外に逃げてくだけじゃ…」 #jics2014 #sec
崎村夏彦 (=nat) @_nat
@nov でも、ろくでもない自前パスワードシステムは、確かに負の外部性を持っているので、税金かけるべきなんだよね。消費者保護という点でも、資源の最適配分という意味でも。 #jics2014 #sec http://t.co/XSjHMdeaxr
太陽の塔 @zerobase
@_nat @nov 「○○規格に適合してれば無税」という条件でなら合理的だと思います。実装はおおむねOSSライブラリを組み込めば済むでしょうし。
太陽の塔 @zerobase
@_nat @nov 良くも悪くも、業法での規制よりはるかに強力ですね、課税って…
崎村夏彦 (=nat) @_nat
@zerobase @nov ライブラリ使ってればという話でも無いと思います。実際にはどんどんアタックベクターが変わっていくので。だから、水準認証、マネジメントシステム認証両方受けてたらOKとかはるでしょうね。EUのプライバシー・シールみたいなの。 #jics2014 #sec
太陽の塔 @zerobase
@_nat @nov そこまでやると海外に逃げますよね…
崎村夏彦 (=nat) @_nat
@zerobase @nov 別に逃げても良いと思うんですよねー。ロクでもないサービスなんだから。使わないほうが身のためだし。日本では毒餃子作れなくなるじゃないかというのに似てる。
太陽の塔 @zerobase
@_nat @nov 逃げるより問題なのはスタートアップ出てこなくなることかなあと
崎村夏彦 (=nat) @_nat
@zerobase @nov なにゆえ?認証をアウトソースすれば良いだけですよね。むしろ、苦手なことやらないで得意なことに特化したほうが良いのではないですか?
太陽の塔 @zerobase
@_nat @nov 「初心者マーク」みたいなシール貼れば免責みたいな制度設計ならアリかもしれませんね。
崎村夏彦 (=nat) @_nat
@zerobase @nov 初心者マークのタクシーはありえませんよ。
太陽の塔 @zerobase
@_nat @nov 「認証のアウトソース」は、IdPのカバレッジが十分に高まってからでしょうねえ。例えばiPhoneユーザーなら、Apple IDがIdPになるくらいでないと。Google/Twitter/FacebookのID持ってない人もたくさんいるので。
太陽の塔 @zerobase
@_nat @nov 社会にとって善いかどうか抜きに「らくしたい」観点だけで言うと、とりあえずGoogle IDで全人類管理できたら「らく」ですけどw
崎村夏彦 (=nat) @_nat
@zerobase @nov 自社にIDを作ってもらうのと、アウトソース先にIDを作ってもらうのと手間は変わらないどころか後者のほうが圧倒的に低いですよね。別にホワイトボックスでアウトソースしてもらえばよいのだし。
太陽の塔 @zerobase
@_nat @nov もっと敷居を下げたくて、たとえばスマホ買うとIDがついてくる、くらいが。キャリアIDをMNPと一緒にポート(ローミング)できるのでも日本では「らく」かもしれません。全員がG/FB/TWなどのウェブサービス使う世の中になるとはあまり思ってないです。
崎村夏彦 (=nat) @_nat
@zerobase @nov まず、認証アウトソースとG/F/T等とのID連携は分けて考えてください。認証アウトソースは適合認証ベンダにアウトソースすれば良いので、自社ブランドで良いのですよ。
崎村夏彦 (=nat) @_nat
@zerobase @nov ポータブルなキャリアIDに関して言うと、Orangeとかはすでにそうだし(DTもそうかな。AUもかも。)、そういう方向にあると思いますけどね。
太陽の塔 @zerobase
@_nat @nov (とくにto C系の)スタートアップの観点からは、事業者・利用者双方にとっての敷居の低さ/使いやすさ、および利用者のカバレッジ(すでにIDを保有しているかどうか)を重視します。日本でもキャリアIDが「ふつう」に使えるようになったら、大きな前進ですね。
崎村夏彦 (=nat) @_nat
@zerobase @nov であれば、自社IDは最低の選択肢ですよね。カバー率ゼロですから。キャリアIDは…3社ともIdPやってるので、契約すれば使えるのかも。
太陽の塔 @zerobase
@_nat @nov はい、スタートアップが自社ID&パスワード認証システムを構築・運用するのは合理的ではないと思います。もちろん大前提としてそこは了解です。
太陽の塔 @zerobase
@_nat @nov この問題、じつはRailsとかの入門書の問題かもしれませんね。「gemでさくっとID&パスワード認証をつくろう」みたいに書いてる本を駆逐すればよさそう。著者、編集者、出版社向けに「認証の自作はやめよう」と啓蒙するのがROI高いかも、と思いました。
太陽の塔 @zerobase
“docomo ログインでは基本プロトコルとしてOpenIDを利用しています。” / “docomo ID - サイト運営者様向け” http://t.co/RhhciT6tNA
崎村夏彦 (=nat) @_nat
@zerobase @nov Rubyの女神 @ikeay あたりに啓蒙してもらえば良いのだろうか…。あ、そいういうあれな入門書にも税金かければ良いのかw。
太陽の塔 @zerobase
@_nat @nov @ikeay 崎村さん課税好きすぎだと思いますw
太陽の塔 @zerobase
au ID の開発者向け情報がどこにも見当たらない… https://t.co/RgcVVX0D7B
残りを読む(6)

コメント

メルセゲル @Meretseger2 2014-01-20 01:08:49
LDAPが一時期ひどいバグを連発してましたが、あれなら独自にパスワード認証したほうがマシでした
メルセゲル @Meretseger2 2014-04-10 03:19:56
みんな同じopenssl 使ってたらこういう事になるので多様性ないとダメなんだよ。優生学信者は信じないだろうけど http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/
ログインして広告を非表示にする
ログインして広告を非表示にする