【新機能】作り忘れたまとめはありませんか?31日前まで期間指定してまとめが作れる高度な検索ができました。有料APIだからツイートの漏れはありません!
6
ログインして広告を非表示にする
nov matake @nov 2014-01-14 16:16:03
「自前のパスワード認証要求するサイトには税金かければ…」「事業者が海外に逃げてくだけじゃ…」 #jics2014 #sec
崎村夏彦 (=nat) @_nat 2014-01-16 16:02:43
@nov でも、ろくでもない自前パスワードシステムは、確かに負の外部性を持っているので、税金かけるべきなんだよね。消費者保護という点でも、資源の最適配分という意味でも。 #jics2014 #sec http://t.co/XSjHMdeaxr
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:04:38
@_nat @nov 「○○規格に適合してれば無税」という条件でなら合理的だと思います。実装はおおむねOSSライブラリを組み込めば済むでしょうし。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:06:06
@_nat @nov 良くも悪くも、業法での規制よりはるかに強力ですね、課税って…
崎村夏彦 (=nat) @_nat 2014-01-16 16:07:36
@zerobase @nov ライブラリ使ってればという話でも無いと思います。実際にはどんどんアタックベクターが変わっていくので。だから、水準認証、マネジメントシステム認証両方受けてたらOKとかはるでしょうね。EUのプライバシー・シールみたいなの。 #jics2014 #sec
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:07:56
@_nat @nov そこまでやると海外に逃げますよね…
崎村夏彦 (=nat) @_nat 2014-01-16 16:09:58
@zerobase @nov 別に逃げても良いと思うんですよねー。ロクでもないサービスなんだから。使わないほうが身のためだし。日本では毒餃子作れなくなるじゃないかというのに似てる。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:10:36
@_nat @nov 逃げるより問題なのはスタートアップ出てこなくなることかなあと
崎村夏彦 (=nat) @_nat 2014-01-16 16:11:19
@zerobase @nov なにゆえ?認証をアウトソースすれば良いだけですよね。むしろ、苦手なことやらないで得意なことに特化したほうが良いのではないですか?
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:11:29
@_nat @nov 「初心者マーク」みたいなシール貼れば免責みたいな制度設計ならアリかもしれませんね。
崎村夏彦 (=nat) @_nat 2014-01-16 16:11:49
@zerobase @nov 初心者マークのタクシーはありえませんよ。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:13:53
@_nat @nov 「認証のアウトソース」は、IdPのカバレッジが十分に高まってからでしょうねえ。例えばiPhoneユーザーなら、Apple IDがIdPになるくらいでないと。Google/Twitter/FacebookのID持ってない人もたくさんいるので。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:15:55
@_nat @nov 社会にとって善いかどうか抜きに「らくしたい」観点だけで言うと、とりあえずGoogle IDで全人類管理できたら「らく」ですけどw
崎村夏彦 (=nat) @_nat 2014-01-16 16:16:15
@zerobase @nov 自社にIDを作ってもらうのと、アウトソース先にIDを作ってもらうのと手間は変わらないどころか後者のほうが圧倒的に低いですよね。別にホワイトボックスでアウトソースしてもらえばよいのだし。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:17:55
@_nat @nov もっと敷居を下げたくて、たとえばスマホ買うとIDがついてくる、くらいが。キャリアIDをMNPと一緒にポート(ローミング)できるのでも日本では「らく」かもしれません。全員がG/FB/TWなどのウェブサービス使う世の中になるとはあまり思ってないです。
崎村夏彦 (=nat) @_nat 2014-01-16 16:20:09
@zerobase @nov まず、認証アウトソースとG/F/T等とのID連携は分けて考えてください。認証アウトソースは適合認証ベンダにアウトソースすれば良いので、自社ブランドで良いのですよ。
崎村夏彦 (=nat) @_nat 2014-01-16 16:21:05
@zerobase @nov ポータブルなキャリアIDに関して言うと、Orangeとかはすでにそうだし(DTもそうかな。AUもかも。)、そういう方向にあると思いますけどね。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:28:42
@_nat @nov (とくにto C系の)スタートアップの観点からは、事業者・利用者双方にとっての敷居の低さ/使いやすさ、および利用者のカバレッジ(すでにIDを保有しているかどうか)を重視します。日本でもキャリアIDが「ふつう」に使えるようになったら、大きな前進ですね。
崎村夏彦 (=nat) @_nat 2014-01-16 16:30:28
@zerobase @nov であれば、自社IDは最低の選択肢ですよね。カバー率ゼロですから。キャリアIDは…3社ともIdPやってるので、契約すれば使えるのかも。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:31:48
@_nat @nov はい、スタートアップが自社ID&パスワード認証システムを構築・運用するのは合理的ではないと思います。もちろん大前提としてそこは了解です。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:35:39
@_nat @nov この問題、じつはRailsとかの入門書の問題かもしれませんね。「gemでさくっとID&パスワード認証をつくろう」みたいに書いてる本を駆逐すればよさそう。著者、編集者、出版社向けに「認証の自作はやめよう」と啓蒙するのがROI高いかも、と思いました。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:41:41
“docomo ログインでは基本プロトコルとしてOpenIDを利用しています。” / “docomo ID - サイト運営者様向け” http://t.co/RhhciT6tNA
崎村夏彦 (=nat) @_nat 2014-01-16 16:44:59
@zerobase @nov Rubyの女神 @ikeay あたりに啓蒙してもらえば良いのだろうか…。あ、そいういうあれな入門書にも税金かければ良いのかw。
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:48:14
@_nat @nov @ikeay 崎村さん課税好きすぎだと思いますw
石橋秀仁 (Hide Ishi) @zerobase 2014-01-16 16:48:38
au ID の開発者向け情報がどこにも見当たらない… https://t.co/RgcVVX0D7B
残りを読む(6)

コメント

メルセゲル @Meretseger2 2014-01-20 01:08:49
LDAPが一時期ひどいバグを連発してましたが、あれなら独自にパスワード認証したほうがマシでした
メルセゲル @Meretseger2 2014-04-10 03:19:56
みんな同じopenssl 使ってたらこういう事になるので多様性ないとダメなんだよ。優生学信者は信じないだろうけど http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

カテゴリーからまとめを探す

「インターネット」に関連するカテゴリー

ログインして広告を非表示にする
ログインして広告を非表示にする