はてなキーワード: パスワードとは
セキュリティコードは決済の際、お名前.comに通知されるのだけれど、
お名前.comは決済完了後それを破棄する義務があり、保存も禁止されている。
なのに実際は保存している。
セキュリティコードはいわゆる「アナログなパスワード」であり、最後のトリデ。
これをサーバに保存するなんてヤバすぎると思うのだけど。
Webサイト開発・運用・保守の仕事をやっている都合、業務の一環として日常的にスマホを使うことが多いのだけど、プライベートで使っているのはガラケー。
やっぱりガラケーのほうが圧倒的に使いやすいのよねー。スマホに切り替える理由が今のところない。
自分、結構指太いから、狙ったポイントが押せなくてイライラすることが多いんです。
ソフトキーボードは画面を横向きにしないとまずまともに使えない。
Basic認証のID/パスワードとかを毎回手入力するのマジ苦痛ですわ。
UIの研究・調査のためにフリーのゲームをいくつかインストールしたこともあるけど、思い通りの操作ができなくてイライラすることが多いね。
使っているうちにディスプレイがベトベトになるのがまた嫌だったりする。
指紋が気になるたびにいちいち拭いているわけだけど、画面を直接触るというインタフェースである以上、使うたびに必ず汚すことになるわけで、必要な時以外はあまり触りたくない。
あと、ディスプレイとか折りたたみ式じゃないと不安にならないのかしら。
mixiがFBやtwitter、Lineにとってかわったのは、webサービスとしてうんぬんはおいておいて、どれもアドレス帳の読み込み機能が大きかったのではないかとおもう。
webサービスはどれもユーザーの乗り換えコストがかかりにくいから、いいサイト、安いサイトなどができればすぐにユーザーはうつってしまう。
その中でもSNSは友人がいるから簡単にはつぶれないと思われていたが、アドレス帳の読み込みという方法は日本のサービスでは個人情報の問題などもあったのでやらなかった、でおくれたのではないかと思う。
その点、海外のSNSやサービスはFBあたりから、気持ち悪いくらいにgoogleとyahooのアドレスとパスワードを入れるように執拗にログイン画面で出てくるものがあって、FBも海外の友人とやりとりするのに最初は仕方なくつかっていたものだったが。
スマホの普及とともに突如日本人からの申請が多くなってきた、それもどこで見つけたのかわからない昔の友人から。
それともちろんゲームも大きかった。友人とのコミュニケーションとゲームって要するに依存症の気質をもっと人を効率的に集められたことが大きい。
ソーシャルゲームが下火になりつつあるが、割とこの方向性は人間の本質をついているので、真人間のアクティブユーザーは減るかもしれないが、ユーザーは一定割合残るだろう。
そして、また次の世代が同じようなサービスにはまって、それが新しいサービスでこれからの波だといってもてはやされてすたれていく。
SNSだってソシャゲーだって、要するにパソコン通信とゲームボーイの焼き直しだろ?もっと戻れば雑誌の読者欄や交換日記とメンコとベーゴマだろ?
おまえらが、おじいちゃんになったら、サムスン博物館とかでLineのモックが展示されてて、おじいちゃん昔このスタンプでよく遊んだなぁとか懐かしがるんだろ。
そんな感じじゃないかな?
iPhoneでパスワードを記憶している時間内に子供が課金しまくる事例もありがちなので注意
以前ドラえもんの釣りアプリ(中国製、声がのぶ代なのでたぶん無断)が、子供でも分かりやすい場所に「おすすめ!」マーク付きの8500円課金がある画面構成になっていて、子供が誤課金した親の恨み辛みでレビューが埋まっていたこともある
1. 一度もカード番号やパスワードを求められること無く、課金コンテンツを購入できたこと。
たくさんのコメントありがとうございます。
できるだけ全てに目を通しているつもりですが、Twitter とかにも意見を頂いているようで、読みきれそうにありません。
いろいろと反省点・見直すべき点が見つかり、よい経験をさせてもらいました。
-------
やっちまったね。
小学1年生の息子にはたまに私のスマートフォンを貸して使わせている。
たいてい、YouTubeで猫や電車の動画を見たり、音楽プレイヤーでももクロの音楽を聴いている。
その日(15日)も息子はスマートフォンで遊んでいた。
すると私のPCに Google Play から「ご注文明細」メールが届いた。
急いでスマートフォンを調べてみると、子供が誤ってアプリ内課金のコインとやらを購入したようだ。
前に某キャラクター(現時点では伏せておく)のゲームを見つけてインストールしたのだが、
やってみたら大人向け(漢字や英語が多く、概念も難しい)で、とてもじゃないが子供には無理なので、すぐにやめてしまった。
それを、またやってみたくなってしまい、(字が読めないなりに)適当に押していろんなキャラクターが出てくるのを楽しんでいたようだ。
漢字も読めない小学1年生にスマートフォンを使わせてしまったことと、細かい文字で長々と書いてある利用規約を面倒がってよく読まなかった私に非があるのはよく分かる。
が、いくつか腑に落ちない点があるんだ。
1. 一度もカード番号やパスワードを求められること無く、課金コンテンツを購入できたこと。
これが、「過去に買い物をした時の情報を端末に記録していた」とかなら、まだ分かる。
が、スマートフォンからは一度も買い物をしたことがないのに、できてしまったんだよ。
2. ゲーム登録時にもらえるコインが残っているのに、追加でコインが購入できること。
(妻によると、当たり前に課金コンテンツを使うユーザにとっては普通のことらしい)
3. コイン購入手続き後、まだコインが届く前に次のコインを購入できたこと。
その間ゲーム画面では購入履歴を確認する手段がなく、また次の注文ができてしまう。
つまり、意図して購入した人であっても、注文が通っているかどうか分からずに何度も注文する可能性がある。
(後から分かったが、購入画面に上記に対する注意書きがあった)
ところで、金額は5,600円という微妙な額。
大人が騒ぐほどの額でもないが、ゲームソフトなら1本買える額。子供にとっては大金。
息子は(ずっと前から楽しみにしている)「ポケモン要らないからそのお金で払って」と言っている。
金額の問題ではなく、訳もわからずに買えてしまうような仕様に対して、お父ちゃんは怒っているんだよ。
ずんずんどこどこべえだよ!
とりあえずコインには手を付けずにキャンセル依頼のメールを送った。
稚拙な文章で誤解を招いているようなので補足。
漢字も読めない小学1年生にスマートフォンを使わせてしまったことと、細かい文字で長々と書いてある利用規約を面倒がってよく読まなかった私に非があるのはよく分かる。
と書いたように、大半のツンデレちゃん達が、ツンツン指摘してくれた内容は分かっているつもりだったんだ。
本当に知りたかったのは、本文中の箇条書き 1~3 についての納得の行く理由なんですよ。
これら(特に1)については、読解力に優れた人たち(よくこの本文から真意を汲み取っていただいたものだ)が教えてくれた。
http://anond.hatelabo.jp/20130816191029
http://anond.hatelabo.jp/20130816191302
要は、パソコンで使った決済情報がそのままスマートフォンでも使えるという、親切設計が原因とのこと。
Google playの設定で「パスワードを使用して購入を制限する」にチェック入れるだけで制限できるのに、それすら調べずに漢字の読めない子供に貸すのはどうかと思う。
という解決法を教えてくれた。
そうそう!こういうのを知りたかったんだ!!すぐに設定させてもらいました。ありがとう。
これを読んだ人の100人に1人でもいいからこの設定をやってくれば、「自業自得だ死ねバカ」とか「童貞はピーチ姫でぬいてろ」とか言われながらも、ここに書いてよかったというものだ。
ただ一つ。「ずんずんどこどこべえ」について誰も言及してくれなかったことに、大きな疎外感を感じた。
(伊集院光さんのラジオ「深夜の馬鹿力」でやっていたネタで、我が家で流行中なんだ)
みんな聞いておくれ。私に非があるのは分かっているんだってば。
なのに、私の駄文がどんどん Twitter とか はてブ で広まっちゃってんの!しかもうちの子が道楽息子みたいなタイトルで!(私がつけたタイトルなんだけどさ・・・)
Google playの設定で「パスワードを使用して購入を制限する」にチェック入れるだけで制限できる
という事を流しておくれよ。これ知らない人、けっこういると思うんだ。
「そんなことも知らねぇのかよ情弱」とか言いたいツンデレちゃんも、家族や友達の設定を確認してあげてよ。今日は遅いから明日ね。おじさんと約束だよ!
ちっともよくありませんよ。
GoogleChrome自体は相当初期のバージョンから普通にパスワードを平文で表示可能だったんだけどな
http://blog.elliottkember.com/chromes-insane-password-security-strategy
http://news.mynavi.jp/news/2013/08/08/054/index.html
http://www.itmedia.co.jp/enterprise/articles/1308/08/news033.html
このニュースは取り上げるサイトによっては、Windowsで動作確認した記者がFirefoxと比較してどうのこうのと語ったり、ブコメもドヤ顔で「今まで知らなかったのか」「気付かなかった奴が騒いでる」って見方のブコメを散見するがそれも違和感を感じる。
そういう話じゃないんだよな。
Macでは、Chromeが正式版になってパスワード管理がキーチェーンと連結されて実装された当初、Chromeの設定画面からパスワードを確認する場合はキーチェーンが立ち上がる仕様だった(はず)。
(ベータ時代はパスワード関連の設定画面ではまだ開発中と表示されたはず。ただちょっとそのあたり、ベータが取れる前後は記憶が定かでない。なんせベータとの違いがよく分からない有様だったから。記憶違いだったら申し訳ない)
http://internet.watch.impress.co.jp/docs/news/20091209_334515.html
例えば、Mac OSのパスワード管理機能「キーチェーン」がGoogle Chromeに統合されたため1カ所でパスワードを管理でき、他のブラウザで入力したパスワードをGoogle Chromeで利用できる。
あくまでキーチェーンの扱いはSafariと同じだったし、この時はSafariからパスワードを直接インポートできなかったと記憶している。
ちなみに、ヘルプの記載でも現在もキーチェーンで保存してるとしてる。
https://support.google.com/chrome/answer/95606?hl=ja
Google Chrome では、さまざまなウェブサイトのユーザー名とパスワードを保存することができます。そのようなウェブサイトに次回アクセスすると、ブラウザによって自動的にログイン フィールドに入力されます。
これらのパスワードは、その他のブラウザのパスワードが保存されているのと同じシステムに保存されています。Mac の場合、Google Chrome はキーチェーンアクセスを使用してユーザーのログイン情報を保存します。
おそらくこの記載はキーチェーンとの連携ができるようになった当初のものだろう。この後ろにchromeアカウントの話を付け足したのか。
とにかく、MacOSのほぼ全てのブラウザがキーチェーンによるパスワード管理をやってて(キーチェーンはアクセスできるアプリケーションを管理でき、ブラウザ以外も依存している)、ここに委ねてる。
だからパスワードの確認はキーチェーンで行う理屈で、Chromeのベータが取れた当初はそうだったはず(私の記憶では)だし、そうでなくてもGoogleの説明を受けたMacユーザーはそういう認識だ。
ようするに、MacユーザーからするとSafari等のキーチェーンを利用するアプリケーションと同様の方法で管理してますよって言ってるのに、実態が違うじゃないかっていう指摘だ。
(たしかWindowsにおけるIEも同じようにシステムの管理だと思う。この話において、Mac/Windows対応であるFifefoxは例外なんだが、その管理と同等のレベルにしようという事で、それに倣ってマスターパスワードを装備している。ちなみにデフォルトじゃないという反論の意味がよく分からない。)
また、キーチェーンによるURLの認識方法がセキュリティ的に問題で、Chromeは違いますよっていう話があってもいいはずなんだけど、Googleの反論はそうでもないようだからそっちとは違うみたいだ。
思うに、Googleとしてはデータ上は平文保存してるのに画面上見えないだけって実態がセキュアじゃないとか本当は言いたいんだろうけど、しかし平文保存してるからこそSafariからパスが抜け、だからこそSafariからの移行組を確保しているからで、このことをおおっぴらに言うことはないと思う。
「書く」ことを始めることにした.
もう十何年も思考停止状態が続いている.いい歳になった.
いわゆる知的生産のための技術や能力を向上させたいとおもいつつ,なんとかしないといけないとずっと思いながらも,なにもせずになんとなく過ごしてきたしまった.
頭ではなんとかしようとしながら,色々躊躇してなにもせずに時間がだけが過ぎてしまった.
今までは,うまくいってもいかなくても個人的な問題として済ませられてきたけれど,来年から立場変わる予定で,仕事の内容も質も量も一気に変わり,責任も大きくなる.
今のうちに,これまで漠然と取り組んでいたことも,自分なりのやり方をある程度確立して,処理能力を高めないとこれから先困るのは目に見えている.
もともとのんびりしているし,仕事も遅いが,そのままというわけにはいかない.
そして意識的に取り組んでいくためには,「書く」ことが有効だと思っている.
そう思って,これまでもブログをいくつも用意したが,なかなか書き始められないできた.
現実の社会の自分と紐づくのはもちろん恥ずかしいので嫌だけれど,そうではなく,仮にユーザ名などある種の匿名だったとしても,そのネット上の個人として,この人こんなこと書いてると思われるのがきっと恥ずかしかったんだと思う.
また,読まれるからにはある程度まとまってからとか,情報も間違いないようにとか思って意識してしまい,これが原因で書くタイミングを逃してしまうこともあった.
本来,公開して人の目を意識することで,情報を集めて精度を増したり,論理的で読みやすい文章を書く練習になったりすることは良い事なんだけど,書かなくなってしまっては本末転倒.
人の目など気にしないで続ければ良い,ということは頭では分かっているが,それでもどうやっても書けなかった.
かといって,紙のノートに書いたり,ローカルに書いたり,パスワードかけて書いたりしようと思ったこともあるけれど,一目につかないところに書くのはどうも続かない.
そもそも,紙のノートに日記は万が一読まれる可能性もあるので,恥ずかしい事はかけない.昔から新しいノートをいくつも買うが使い始められず未使用のノートが溜まっていく一方だった.
というわけで,「書く」ことで,また書こうとすることで,きちんと自分の考えや,自分の行動を意識していくことで,経験を蓄積し,きちんと「思考」して,自分の生活や能力を改善していきたいと思う.
https://groups.google.com/forum/#!search/090-$20%E5%A4%A7%E5%AD%A6%7Csort:date
学生さんほいほい
https://groups.google.com/forum/#!search/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%80%80%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%7Csort:date
俺も入れてー?
https://groups.google.com/forum/#!search/%E8%AB%8B%E6%B1%82$20or$20%E9%A0%98%E5%8F%8E%7Csort:date
ほー、そんなに払ってんの?
https://groups.google.com/forum/#!search/%E8%AD%B0%E4%BA%8B%E9%8C%B2%7Csort:date
「社長、おれ会議出なくていっすか?」「どちらさまで・・」「・・」
https://groups.google.com/forum/#!search/%E7%A4%BE%E5%A4%96%E7%A7%98%7Csort:date
「社外秘にしてください!」こうですか?
自己レスだけど、こういうのをエキスパート向けのプルーフといって、
ITの専門家をプロフェッショナル。別の分野のプロフェッショナル=エキスパートと区別すると
ITに詳しくないエキスパートが使って 何らかのミスをした場合でも、安全に対処できる。
というのがプルーフの世界で、セキュリティーと同じく偉く専門的な分野になるんだが・・・
そういうの無視しすぎ。
プルーフが担保されてない、しかも、外国のサービスなんか使ったら事故って当たり前。
企業でよく使われるプルーフは、IDとパスワードにするとパスワードの問題が出るから、セキュリティーカードに暗号仕込んで
カードから情報読み込んで、内部サーバーにアクセスするというのもエキスパート向けプルーフの一種。
サービスごとに使いまわさないようにしようと思うと、やっぱりどうしても覚え切れないので。
もちろんそのメモは見られないように気をつけるし、本当にヤバイのは書かないけど。
書くときは、気休めかもしれないけれど、連想ゲームを使ってわからなくしている。
例えばパスワードを「dog214」にしたとする。
↓
小学校で転校してきた友達の家の犬でかかったなあ。2/14はバレンタインだ。
↓
でかいと言えば高校のクラスメイトの井上くんは背がすごく高かった。バレンタインと言ったらチョコだ。
と、パスワードがうろ覚えだとか、「いくつか思いつくけどどれだっけ」くらいの忘れ方なら、
明治→チョコ→2月14日の連想も、「井上、転校生」から「井上→でかい、でかい+転校生→犬」も、自分では辿れないルートではない。
でも何も知らなかったら、転校生井上(明治)がdog214には、まあ比較的結びつけづらいだろう。(明治→214は簡単そうで例として失敗したかも。自分であとで思い出せそうな限り「明治大学」とか「大正」とかもう1段階変えた方がいいな)
井上を知っている層とでかい犬を知っている層はかぶらない(ように連想ゲームを作る)し、今の身近な人は両方知らないし。
連想に使うエピソードは、もんのすごくささやかでオチの無い過去話か、黒歴史とか周りに隠してる趣味とかの関係にすればうっかり喋る心配は小さい。
逆に、どっかでそういうのぜんぶばれてたら使えないけど。
新しいウェブサービスを利用しようとして、IDとパスワードを入力したとき、「秘密の質問」として「母親の旧姓」を選ぶ項目に『ここは普通に母親の旧姓を書いては危ないだろうな』と思い、「(5Z,8Z,11Z,14Z)-N-(2-hydroxyethyl)icosa-5,8,11,14-tetraenamide」とした。そのときはそのくらいでよかった。
数年が経ち、両親がついに離婚という話になり、わたしはどちらかの姓にするというので、母親側の姓にしようとした。
そうしたら母親の旧姓が「(5Z,8Z,11Z,14Z)-N-(2-hydroxyethyl)icosa-5,8,11,14-tetraenamide」だといい、「私の本当の名前は、(5Z,8Z,11Z,14Z)-N-(2-hydroxyethyl)icosa-5,8,11,14-tetraenamideめぐみ」だと言い出した。続けて「あなたの名前は(5Z,8Z,11Z,14Z)-N-(2-hydroxyethyl)icosa-5,8,11,14-tetraenamideたかひろということになる」などと言っている。
これでは非常に長ったらしくて困ってしまうので、どうにかならないかと注文をつけてみようと思ったが、どうせ「苗字なんだから仕方ないじゃない」と言われるのがオチだ。いいことがあると言えばわたしの名前の方が「寿限無寿限無五劫の擦り切れ以下略」でなくてよかった。もしそれになっていたら「(5Z,8Z,11Z,14Z)-N-(2-hydroxyethyl)icosa-5,8,11,14-tetraenamide寿限無寿限無五劫の擦り切れ以下略」というピカソよりは短いと思うけどちょっと大変なことになるところだった。しかしそれでも苗字が長い。課長に呼ばれるときはどうすればいいのか。「あ、わたし今度から水上から(5Z,8Z,11Z,14Z)-N-(2-hydroxyethyl)icosa-5,8,11,14-tetraenamideになりましたのでよろしくおねがいします」とか言うのか。あと名刺もどうすんの。「(5Z,8Z,11Z,14Z)-N-(2-hydroxyethyl)icosa-5,8,11,14-tetraenamideたかひろ」とか名刺に入らない。
困る。
今はどうしてるかしらない。
そこで運営してた自社サービスの一つに食べ物系の通販サイトがあったんだけど、そこの管理がすっごいずさんだった。
なにせ、当時の管理者のログインIDとパスワードがADMINとPASSWORD(一応フェイク)なの。
EC-CUBEだからURLのあとにadmin/ってうったら管理画面にとべちゃうのに。
これはまずいでしょって訴えたけど改善されなかった。
ブコメを読んでるとパスワードが本当に公開されているのか疑う声が多かったが、パスワードは確かに公開されている。
こちらの記事は400ブクマ近くついたのにみんな忘れてしまったのか?
●8/27
感染PCを遠隔操作して(プロバイダ名)メールのアカウントを一つ作成し、
これを使って4箇所にメール送信。
遠隔操作事件・真犯人と称する者からのメール全文 2012-10-21 - 弁護士 落合洋司 (東京弁護士会) の 「日々是好日」
よって論点は、これが承諾にあたるか否か、ということになる。
自分は難しいと思うけど、法律の読み方はわからないので詳しい人に任せたい。
の2つがある。
上記のメールアドレスとパスワードはexciteのもので、朝日新聞記者がアクセスしたのもこちらだと思われる。
当該アクセスは、「真犯人」を名乗る人物が送信した犯行声明メールが実際に当該メールアカウントから送信されたものであるかどうか(第三者が犯人になりすまして送った形跡はないか)などを確認するために行った、正当な取材行為です。
報道機関の記者が正当な取材として行った行為は、仮に犯罪の構成要件に該当するとしても、正当な業務行為として違法性を欠き、処罰されないことは判例でも明確に示されています(いわゆる『西山記者事件』での最高裁1978年5月31日決定をご参照下さい)。
ということなので読んでみた。
六 報道機関が公務員に対し秘密を漏示するようにそそのかしたからといつて、直ちに当該行為の違法性が推定されるものではなく、それが真に報道の目的からでたものであり、その手段・方法が法秩序全体の精神に照らし相当なものとして社会観念上是認されるものである限りは、実質的に違法性を欠き正当な業務行為である。
確かに同じことが書いてある。
"違法性を欠き"というのは見た目上違法行為であっても違法性がなければ違法行為にはならない、ということだろうか。
報道の自由にはかなりの幅が許されていそうだ。
西山記者事件は次項の、はじめから文書を入手するつもりで既婚の女性事務官と強引に肉体関係を持ったことが悪質とされ、正当な行為ではないとされたようだ。
七 当初から秘密文書を入手するための手段として利用する意図で女性の公務員と肉体関係を持ち、同女が右関係のため被告人の依頼を拒み難い心理状態に陥つたことに乗じて秘密文書を持ち出させたなど取材対象者の人格を著しく蹂躪した本件取材行為(判文参照)は、正当な取材活動の範囲を逸脱するものである。
パスワードを入手するにあたってしたことは、自分に送られてきたメールを読んだだけ。
そしてそれを使って取材のためにexciteのサーバにアクセス。
この点が西山記者が女性を嵌めたこととは違うよ、と言いたいらしい。
そのため朝日新聞は以下の主張。
まして、当該アクセスは窃盗など不正な手段で当該識別符号を入手したものでも全くなく、正当な業務行為に該当することは明らかです。
パスワードを公開してまで自分がメールを送信したことを証明したがっている犯人。
そのメールアカウントへのアクセスが、"取材対象者の人格を著しく蹂躪"していると言えるかどうか……難しいのではと思う。
理屈は通っていそうだ。
冗談で言ったつもりかもしれないがGoogleが破られたのが512bitで2048に急遽変えました。というのもあるので
パスワード3000文字というのは実はシャレではないのが今の常識。
※当然、機械生成されたワンタイムパスワードという意味で。
今時、生パスワードをネットを通すなんて時代遅れだよね!というのはすごい昔の話題なんだけどな。実際問題生パスワードを送ってるサイトが多数あるけどな。
どうでもいいけど、たとえばZIPでその辺のGPU利用クラックツールで英小文字のみ8文字のパスワードを割ってみろよ。瞬殺だから。