  |
はてなキーワード: パスワードとは
メールアドレスと誕生日が分かれば、いくらでもパスワード再発行で乗っ取られてしまう!
こんな状況の時に、とっさに自分の登録してある誕生日を変える という手段が取れた人は
ちょっと賢いなっておもいました。まる。
あ、そうか。「パスワード忘れた済まんゴ」の画面から入って手当たり次第に知ってるメールアドレスとと自分のメールアドレス入れてリマインドか。
これなら慣れてる奴は秒で気付くし第三社でも余裕で実行可能だな。
ただ、パスワードリセットを他に送れるからって不正利用マンがそのフォームに対して何かしら仕込まない限りは不正利用されることはないからそこに脆弱性があっても今回のものとは原因は別だと思われる。
・パスワード長に制限がある(覚えやすく強力なパスワードを作りにくい)
・パスワード設定時の再入力でコピペ禁止(パスワード生成ソフトのランダム文字列が使いにくい。というかそもそも同じものを2回入力させる意味がない。間違えたら再発行や再設定で対応すればよい)
・秘密の質問がある(利用者が忘れたら再発行・再設定で対応すればよい)
・パスワード再設定時にIDに設定したメールアドレス以外のメールアドレスを送付先として利用できる(メールアドレスと生年月日がわかれば他人がパスワードを再設定できる。つまり他のサービスで漏洩した情報だけで認証を突破できる。)
・7idログイン用のパスワードと7payのチャージに必要な認証パスワードに同一のものを利用できる(フールプルーフのない不完全な多段階認証)
・パスワード変更してもログインしているアプリから自動ログアウトされない(他人が不正ログインに成功したらパスワード変更しても意味がない)
他になんかある?
その別の増田だけど、ほとんどの人にとって必要性がないからじゃないの?あとはSSOが使えないサイトを使うことが多いから?
まず、SSOを受け入れるところでtwitterとかGoogleとかFacebookとか出てきても、知識がないならナニコレ怖いと思いそう。
あと、現状IDやパスワードの管理に困ってなかったらわざわざSSOを有効にする面倒くさい手順を踏まないのではないかと思ったりもする。
今時のブラウザはIDとパスワードを覚えてくれたりするから、わざわざSSOにするというモチベーションは生まれないと思う。
個人的にはtwo factorを使っていないような銀行とか証券会社とかはSSOを受け入れるようにして、FIDO U2Fを使えるところで認証して、SSOで使えたほうが安全なんじゃないの?と思うけれど、現行法でそれって許されるの?
「善良な管理者の注意義務」ってどこかに書いてあるのかねぇ、って思っちゃったけど。
単語から広告サジェストしたいだけなら「利用アプリ」の収集は要らないよね…何に使うの?
利用規約全部読んでも、「情報の第三者提供をしない」とは書かれてないから、提供されていてもユーザーは文句言えない状態。
それといま問題なのは「キーボード入力を収集する」のがそもそも問題で、それが個人情報(法律上の)かどうかはまた別だよ。
正規表現で判定しているとか情報もあるけど、クレジットカードみたいな全部数字は区別できない。アカウント名やパスワードのようなただの英文字も無理だろう。
そうなんですよ。ほとんどLINEを使うためだけにスマホやタブレットを持っている高齢者はそもそもgmailの存在をよく分かっていないし、使いもしないです。
androidだとgmailのアカウントがないと動かないので、うちの母のタブレット設定するときに適当に作ったけど、「このタブレットはLINEの他にメールアプリも入っていて、そのアドレスでパソコンとかとメールのやり取りができる」とか言うとかえって混乱しそうなので教えてないです。
ただ、うちの両親はいまだにプロバイダのくれたメールアドレスを夫婦兼用で使っており、かつそのアドレスとメールソフトでメールを送受信する設定方法を分かっていないため、webメールでそのアドレスに届いたメールをチェックしているので、gmailに移行させた方が良いのかも知れない。パスワードとか送受信用のサーバー情報とかが分かれば私がメールソフトの設定するんだけど。
ユーザーのキーボード入力を収集して広告に活かすというオメガ株式会社のプレゼン資料らしきものが少し話題になっている。
オメガ株式会社自身の着せ替え機能付きキーボードアプリANYTYPEのAppStoreページ。
実際にインストールして軽く使ってみた。
・着せ替えは普通に使えた
・レビュー数274件って感じでユーザー数は既にそれなりにいるっぽい
・軽く使ってみた感じだと、フルアクセスを許可して使えるようになる機能には「絵文字キーボード」「顔文字キーボード」「広告サジェスト」「入力と連携した演出」があった
・「ミッキー」と入力すればキーボード上部でディズニーランドHPのリンクが表示された
・「野球」と入力すれば米アニメっぽい野球GIFがキーボード全体にさらっと流れてクスッときた
・ANYTYPEから他のキーボードに変更するのが難しい気がするがこれ普通なのかね
[フルアクセスを許可]の設定をオンにすると、入力内容(パスワード、クレジットカード番号などの個人情報)の収集や、ユーザーインターフェースの操作の記録についてのメッセージが表示されますが、ANYTYPEはこれらを一切行いませんので、安心してご利用ください。
appstore説明文にこういう風に書かれてる。自社のこのアプリでは入力情報の収集はしてないのだろう。サジェスト機能とかのためにキーボードフルアクセスが必要なのだろう。プレゼン資料が本物なら自社のキーボードアプリでは情報収集しないが、提携企業のキーボードアプリでは情報収集するということなのだろう。
当社は、広告表示最適化のために、広告識別ID、利用アプリ、特定の入力情報を本アプリから当社が運用するサーバーに送ることにより取得し、善良な管理者の注意義務をもって管理します。
でも利用規約にはこういう風に書いてある。appstore説明文と矛盾してる気がするけど問題ないのかな。
appstore説明文に書かれてるけど、どこにその機能あんの?
appstore説明文に書かれてるけど、どこにその機能あんの?
オメガ株式会社では、独自に収集した膨大な量のビッグデータを人工知能で解析し、個々のユーザーに合わせて欲しいときに欲しい広告が配信できる世界初の広告配信技術を開発しております。
公式サイトで上記のように謳ってたからてっきりこのアプリで情報収集したビッグデータで広告サジェストに活かしてるのかと思ったけど別にこのアプリでは情報収集してないらしい。appstore説明文で情報収集しないと明記してるのは心強い。利用規約が少し矛盾してる気がするが多分大丈夫なのだろう。
このアプリは問題ないとしても、プレゼン資料にあるような情報収集行為はAppleとの規約違反になりそうだけど大丈夫なんだろうか。
電子書籍って規格が多すぎね?私は極力AmazonとSony readerに絞ってるけど、紙の書籍を買うとおまけにデータがついてくるときとか別のアプリで読まないといけなかったりする。
うっかりIDとパスワード忘れたりとか、特定の電子書籍サービスがなくなったりとかいろんなリスクを考えると全部を電子書籍にするのはいかがなものかと思う。若くて機械に強くて、データで本を読むことに抵抗のない人々にとっては紙書籍の存在意義はあまりないのかもしれないけど、これからどんどん歳をとって新しいものに対応する能力が衰えていく世代にとって、電子書籍はやっぱり面倒だ。
それに単純に電子より紙の方が読みやすくないか?私は老眼対策で8インチのタブレットを持っているけど、それでも電子書籍より紙の本の方が読みやすい。電子書籍で持ってる本なんて存在すら忘れてしまうことが多い。
職場の仕事でも文書管理システムとかいって業務のペーパーレス化を図ろうとする試みはあるが、「結局紙の方が読みやすいから添付ファイルを打ち出してしまう」とか「電子決裁とかやると上の人が書類の存在に気付かずになかなか仕事が進まない」とかいう現象が発生する。
結局スマホやタブレットのある生活が当たり前になっている世代が管理職になる頃に、電子書籍の規格が統一されていれば本や雑誌の大部分が電子化されるというかなり先の話になるんではないだろうか。
情弱の戯言と言われるだろうけれども、同じような被害に会う人が少しでも減るようにと思って書いてみた。
言いたいことは3つ。
おかげで数百万の借金を抱え込んだ。
それの反省と注意喚起だ。(さらに言えば、当該会社への集団訴訟を目指す決起集会の開催記念も)
当時、開業一年目で一応ホームページは持っていたが、自作のもので正直、見た目は素人丸出しのものだった。
他に広告手段としては新聞折込やフリーペーパー広告などをやったが、殆ど効果がない状況だった。
そこにかかってきた一本の電話。ホームページをリニューアルしませんかというものだった。正直、新聞折り込みやフリーペーパーで何十万もかけても全く効果がなかったことが続いたので、藁をも掴む思いだったが、今から考えればそれは藁どころか鉄アレイだった。
とりあえずあって話を聴くことにしたが、念のため会社名をググってみた。サジェスチョンや検索結果を見ても特に怪しいところはなかったので、まぁ大丈夫だろうと思ったのが失敗の始まり。
電話を掛けてきたのは販売代理店で、実際に製作するのはその親会社だったというオチ。
これも後から気がついたのだけれども、親会社で検索すれば一発でサジェスチョンで「○○ 詐欺」「○○ ダマされた」というのが出てくるは、グーグルマップの評判でも1のオンパレード。
販売代理店も募集しているとはいうものの、実質親会社の社長や役員が経営者で、うちに北販売会社は住所まで同じというほぼ子会社で、検索して悪評がバレないようなカムフラージュ会社だとしか思えない。
さて、実際に訪問してきたのは終業後の22時。色々話を聴いてはみたが、一番引っかかったのは毎月数万円、5年間払い続けなければならないこと。
色々な仕掛でSEOに強い仕組みを作っているとはいうものの、Googleのアップデートで検索順位が一気にひっくり返ったなんていう話は聴いていたので、そこが心配だった。
けれども、「作った後もきちんとサポートしますから!」「電話して頂ければ、色々アドバイスもさせていただきます」という言葉に、「コンサルタントとして対応してくれるならまぁ妥当か...」などと考えてしまった。
その時の時刻、深夜1時。正直夜型とは言え、頭がぼーっとしてきてしまっていた。
結局、契約することを承諾してしまい、後日、契約書を持ってくることと相成った。
保険などもそうだが、「これ肉眼で読めるの?」と疑いたくなるような細かな字で契約書の裏にびっしりと契約条項が書いてある。
しかし、それらは一切説明せず、別紙の「重要事項説明書」というものののみで説明が行われた。
その説明書に書かれている「重要事項」というのはまぁ、行ってみれば当たり障りのない、「まあ、そうだよね」という内容のものばかり。うん、うんと頷いて、言われるがままに契約書と重要事項に署名捺印をしてしまった。
けれども、当たり前のように契約書の裏にはびっしりと相手側の会社の責任回避の情交が書いてある。まぁ、これだけ責任回避しようとするものだと後で読み直したときに感心するくらい。
それでも相手が真っ当な会社だったら、「まぁ、クレーマー対策にしょうがないか」と納得できるのだが...
しばらくして、できあがったWEBサイトを見た感想は「まぁ、こんなものか...」正直、「おお、素晴らしい、さすがプロ!」というレベルのものではなかった。それでも、自作したものに比べれば、それなりに整ってはいたので、それでもいいかと思っていた。
今、WordPressを学んで見てから考えると、本当に「素人に毛が生えた程度」を地で行くような出来なのだけれども。
まぁ、そんなこんなで使い始めたわけだけれども、正直、使いにくい。
装飾も出来るが、トーン&マナーのことなど知らないから、90年代のホームページのような装飾しか出来ない。
全体の装飾とずれてしまうので、どうにも記事の装飾が浮いてしまう。
現状から言えば、きちんとH1,H2などのタグごとにサイト全体の装飾を設定していて、それにだけを使うように指導してくれれば、それなりに整った見た目になったとは思うのだけれども。
それでも使い続けてみたけれども、使いにくいのと、記事を書く時間をきちんと確保しなかったことから大して記事を書くことは出来なかった。
まぁ、ここまでなら自分が馬鹿だった、何とか期限までガンバロウで済んでいたのだけれども、相手の保守に対する態度にどんどん不満が募っていった。
まず第一に保守料金を取っているのに何でも金をむしり取ろうとする。
ある時、メールアドレスを増やそうと思い、自分で操作をしようとサーバのIDパスワードを聞いてみた。すると「セキュリティのために教えられません」との回答。それまで自分で自由に作ってきたのだから、この回答にはムッときたが、それでも保守管理を依頼しているのだからしょうがないかと、メールアドレスの追加を依頼したら、一つにつき2000円弱もかかるという。
こんな中学生でも出来るようなないように時給何万円掛けるんだよと腹が立ったので、メールアドレスをつくるのは辞めてしまった。
続けて、SSL化しないと検索結果に悪影響があるというので、SSL化を頼むと5万円以上かかるという。10ページもないようなサイトで、しかもレンタルサーバでは無料でSSL化してくれるのに、何でそんなにかかるのか!
それでもチェックする手間もあるからしょうがないかと思って無理矢理納得しようとした。
で、とどめを刺したのがタグごとにCSSの装飾を統一する方法を聞いたとき。そんなものできて当然だろうとちょこっとWordPressを囓った自分は思っていたのだが、それは出来ないという。じゃあ、修正してくれと言ったら1万円よこせという。
月額数百円しかしないレンタルサーバに対して、手間賃込みとは言え、殆ど何にもしないのに毎月5400円も払ってきた(それも恩着せがましく特別割引料金という名目で、ほんらいなら倍額の10800円だそうな)のに無料のテーマでもやっているようなことが出来ないというのはおかしくないか?
これで一気に不信感が高まり、サイトを調べられるだけ調べてみた。
まずはエディタがGutenbergに変わっているはずなのに、古いエディタのままということを不審に思い、問い合わせてみた。
すると「当社の製品は独自ソフトであって、WordPressではありません」との回答。
「おいおい、どう見てもWordPressだろう?」と色々証拠を挙げていくと、「WordPressに独自の修正を加えているのでバージョンはありません」という珍回答。
ならもっと証拠をと、調べていたら標準で入れていたプラグインにWordPressのバージョンが記載されていることが判明。
すると数世代前のブランチのままでバージョンアップをしていない。そりゃ、Gutenbergにもなっていないのは当然だわ。
ついでに言えば、そのプラグインも全くバージョンアップしていない。
WordPressの開発元では、仮にブランチ内で最新のパッチを当てていたとしても、それは研究用であって、正規の業務にはセキュリティ上適さないと言っているのにもかかわらず。
さらにWordPressのセキュリティホールの多くはプラグインであるという調査結果があるにもかかわらず、だ。
これはおかしいだろうと言い出したら、いきなり電話がかかってきて「直接、説明させていただくので、お伺いしてもよろしいですか?」とのこと。
いったいどんな説明をしてくれるのかとOKを出したら、取締役と執行役員が2人組でやってきた。
誠実さを演出しているつもりなのか、それともびびらせようとしているつもりなのか。
で、話をしていて向こうの主張は
・いちいちバージョンアップしなくても海外からのアクセスを制限しているので問題はない
とのこと。
しかし、最後の主張は仮にもIT企業の社員としてはどうなんだろう?海外からのアクセスなんて素人の自分でもごまかせるのに、本気で悪さしようとしている人間にとっては難の障害にもならないと思うのだけれども。
本気でそう思っているならあまりにも無知だし、知っていてそんな説明するとしたら故意に嘘をついて客を丸めこもうなんていう不誠実極まりない態度だと思うのだが。
さらに「なるほど、契約書をきちんと読まなかった自分が馬鹿だったんですね」と自嘲したら、「そんなことはいっていないでしょう。そんな失礼な発言は取り消してください」と逆ギレするし。
で、しまいには「私どもとしてもお客さまに満足いただけないのは自分たちを許せないので」と称して新しいローンを組ませようとする。
さすがに呆れて断ったら「ご自分でやるなら、WordPressじゃなくてMoveabletypeが安全ですよ」と言い出す始末。だったらなんで「危険な」WordPressをおたくは使っているの?
これはだめだとあきらめて、自分で一から作り直そうと、ドメインの返還を申し出たら「リースが完済するまで返せません」との返事。
それはおかしいだろうとリース会社に問い合わせると「商品価値が毀損するのでドメインは渡せない」という回答。
IPアドレスでアクセスできるし、サーバ上にデータその他はそのままなのだから毀損はしないと主張しても、毀損するの一点張り。具体的な法律の根拠を求めても、「弁護士が確認済みです」としか返答しない。
さらに契約終了時の手続きを聞くと、「リース会社の完済証明書を提出しないと保守契約を解約できない」と言い出す始末。引落と月末に3日しかないのにどうやって提出しろというのか?
もちろんそんなことは事前に一切説明されていない。おまけに解約できないと「特別割引」とやらが終了するので月額10800円もふんだくられる。
おまけにドメイン移管については「手数料」とやらで50000円も要求する。もちろんこれも説明もないし、契約書にも書かれていない。(当然、こちらが移行したときには手数料なんて頂いていない)
骨の髄までしゃぶり尽くすとはこのことだ。
余りに腹に据えかねて、集団訴訟サイトにも登録してみたが、僅かな減額の和解案を提示されたのみ。担当した弁護士さんによるとこれ以上は法律上難しいとのこと。
不思議だったのはこの和解案に乗った人に対してもその弁護士さんは成功報酬を要求しないということ(元々手付金0、成功報酬のみと言うことだった)。全くの無報酬になってしまうのだけれども、逆にそれによって若干の不信感が沸いてきてしまう。
結局、現状は新たに立ち上がった集団訴訟グループに加入するかどうかと悩んでいる最中。
いずれにせよ、当面はひぃひぃ言ってリース料を払い続けなければならない模様。
と言うことで、とりあえず
これは肝に銘じてくださいよ、と言うこと。
そして、パスワードを軽々教えてきた。
私は情報系の授業を受けていたし、
パスワードはきちんと設定してる。
親友は何をいっても駄目のようだ。
「成りすましされるかも」と言えば
「クレカ払いのサイトとかログインされて、勝手に色々購入されたらどうする?」と言えば
「家の鍵が壊れぎみで簡単に開き、
修理もしないままに泥棒に入られたら?」
「そりゃ、泥棒に入るやつが悪い」
「確かにそうだけど、危険と分かってて何も対策しないのはダメだよ」
「意味わかんね」
と言われて終わった。
とかく悪いことしたヤツが全て悪いと言いたいみたいだ。
でも、「分かってて予防しない」ってのがダメだと思うんだが、どうやって伝えたら分かってくれるんだ?
どうしても当てたいチケットがあって電話番号めっちゃ用意して登録しまくったら案の定ロックされた(笑)
まあ覚悟の上だったから驚かなかったけど俺の数日間の努力〜!って感じで悲しい〜
どうも同じ日に同じ名前、同一IPで登録したのがいけなかったらしい。普通にバカだな俺。
別の日に別端末で登録したやつは無事だった。
ちなみに名義は全部一緒な。
アカウントロックされると何度ログインしようとしてもメアドかパスワードか文字認証間違ってますって出てログインできなくなる。(もちろんパスワード再設定も無駄)
退会もできないから半永久的にロ一チケに登録情報残ったままだし、何よりメルマガ解除できないのがクソ!
チケット何も申し込んでないアカウントもロックされたから、やっぱりIP重複チェックされるのは申込時だけじゃなく登録時もみたいだな。
今無事なの確認できてるアカウントが今後ロックされないといいんだがな〜。
特にIPな。ネカフェ行くなり友人のスマホ借りるなりしてちゃんと別端末から登録するんだぞ!
