自前でパスワード認証システムを作る危険性とエコシステム的な議論

まとめました。
6
nov matake @nov

「自前のパスワード認証要求するサイトには税金かければ…」「事業者が海外に逃げてくだけじゃ…」 #jics2014 #sec

2014-01-14 16:16:03
崎村夏彦 (=nat) @_nat

@nov でも、ろくでもない自前パスワードシステムは、確かに負の外部性を持っているので、税金かけるべきなんだよね。消費者保護という点でも、資源の最適配分という意味でも。 #jics2014 #sec http://t.co/XSjHMdeaxr

2014-01-16 16:02:43
石橋秀仁 @zerobase

@_nat @nov 「○○規格に適合してれば無税」という条件でなら合理的だと思います。実装はおおむねOSSライブラリを組み込めば済むでしょうし。

2014-01-16 16:04:38
石橋秀仁 @zerobase

@_nat @nov 良くも悪くも、業法での規制よりはるかに強力ですね、課税って…

2014-01-16 16:06:06
崎村夏彦 (=nat) @_nat

@zerobase @nov ライブラリ使ってればという話でも無いと思います。実際にはどんどんアタックベクターが変わっていくので。だから、水準認証、マネジメントシステム認証両方受けてたらOKとかはるでしょうね。EUのプライバシー・シールみたいなの。 #jics2014 #sec

2014-01-16 16:07:36
石橋秀仁 @zerobase

@_nat @nov そこまでやると海外に逃げますよね…

2014-01-16 16:07:56
崎村夏彦 (=nat) @_nat

@zerobase @nov 別に逃げても良いと思うんですよねー。ロクでもないサービスなんだから。使わないほうが身のためだし。日本では毒餃子作れなくなるじゃないかというのに似てる。

2014-01-16 16:09:58
石橋秀仁 @zerobase

@_nat @nov 逃げるより問題なのはスタートアップ出てこなくなることかなあと

2014-01-16 16:10:36
崎村夏彦 (=nat) @_nat

@zerobase @nov なにゆえ?認証をアウトソースすれば良いだけですよね。むしろ、苦手なことやらないで得意なことに特化したほうが良いのではないですか?

2014-01-16 16:11:19
石橋秀仁 @zerobase

@_nat @nov 「初心者マーク」みたいなシール貼れば免責みたいな制度設計ならアリかもしれませんね。

2014-01-16 16:11:29
崎村夏彦 (=nat) @_nat

@zerobase @nov 初心者マークのタクシーはありえませんよ。

2014-01-16 16:11:49
石橋秀仁 @zerobase

@_nat @nov 「認証のアウトソース」は、IdPのカバレッジが十分に高まってからでしょうねえ。例えばiPhoneユーザーなら、Apple IDがIdPになるくらいでないと。Google/Twitter/FacebookのID持ってない人もたくさんいるので。

2014-01-16 16:13:53
石橋秀仁 @zerobase

@_nat @nov 社会にとって善いかどうか抜きに「らくしたい」観点だけで言うと、とりあえずGoogle IDで全人類管理できたら「らく」ですけどw

2014-01-16 16:15:55
崎村夏彦 (=nat) @_nat

@zerobase @nov 自社にIDを作ってもらうのと、アウトソース先にIDを作ってもらうのと手間は変わらないどころか後者のほうが圧倒的に低いですよね。別にホワイトボックスでアウトソースしてもらえばよいのだし。

2014-01-16 16:16:15
石橋秀仁 @zerobase

@_nat @nov もっと敷居を下げたくて、たとえばスマホ買うとIDがついてくる、くらいが。キャリアIDをMNPと一緒にポート(ローミング)できるのでも日本では「らく」かもしれません。全員がG/FB/TWなどのウェブサービス使う世の中になるとはあまり思ってないです。

2014-01-16 16:17:55
崎村夏彦 (=nat) @_nat

@zerobase @nov まず、認証アウトソースとG/F/T等とのID連携は分けて考えてください。認証アウトソースは適合認証ベンダにアウトソースすれば良いので、自社ブランドで良いのですよ。

2014-01-16 16:20:09
崎村夏彦 (=nat) @_nat

@zerobase @nov ポータブルなキャリアIDに関して言うと、Orangeとかはすでにそうだし(DTもそうかな。AUもかも。)、そういう方向にあると思いますけどね。

2014-01-16 16:21:05
石橋秀仁 @zerobase

@_nat @nov (とくにto C系の)スタートアップの観点からは、事業者・利用者双方にとっての敷居の低さ/使いやすさ、および利用者のカバレッジ(すでにIDを保有しているかどうか)を重視します。日本でもキャリアIDが「ふつう」に使えるようになったら、大きな前進ですね。

2014-01-16 16:28:42
崎村夏彦 (=nat) @_nat

@zerobase @nov であれば、自社IDは最低の選択肢ですよね。カバー率ゼロですから。キャリアIDは…3社ともIdPやってるので、契約すれば使えるのかも。

2014-01-16 16:30:28
石橋秀仁 @zerobase

@_nat @nov はい、スタートアップが自社ID&パスワード認証システムを構築・運用するのは合理的ではないと思います。もちろん大前提としてそこは了解です。

2014-01-16 16:31:48
石橋秀仁 @zerobase

@_nat @nov この問題、じつはRailsとかの入門書の問題かもしれませんね。「gemでさくっとID&パスワード認証をつくろう」みたいに書いてる本を駆逐すればよさそう。著者、編集者、出版社向けに「認証の自作はやめよう」と啓蒙するのがROI高いかも、と思いました。

2014-01-16 16:35:39
石橋秀仁 @zerobase

“docomo ログインでは基本プロトコルとしてOpenIDを利用しています。” / “docomo ID - サイト運営者様向け” http://t.co/RhhciT6tNA

2014-01-16 16:41:41
崎村夏彦 (=nat) @_nat

@zerobase @nov Rubyの女神 @ikeay あたりに啓蒙してもらえば良いのだろうか…。あ、そいういうあれな入門書にも税金かければ良いのかw。

2014-01-16 16:44:59
石橋秀仁 @zerobase

@_nat @nov @ikeay 崎村さん課税好きすぎだと思いますw

2014-01-16 16:48:14
石橋秀仁 @zerobase

au ID の開発者向け情報がどこにも見当たらない… https://t.co/RgcVVX0D7B

2014-01-16 16:48:38
残りを読む(6)

コメント

メルセゲル @Meretseger2 2014年1月20日
LDAPが一時期ひどいバグを連発してましたが、あれなら独自にパスワード認証したほうがマシでした
0
メルセゲル @Meretseger2 2014年4月10日
みんな同じopenssl 使ってたらこういう事になるので多様性ないとダメなんだよ。優生学信者は信じないだろうけど http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/
1