  |
はてなキーワード: 暗号化とは
私が日本語を読み解いた限りでは否定されていないことです。間違いがあったら指摘お願いします。
「1. 国内ユーザーのデータ管理について」から、暗号化されてDBに保管されているのはトークだけであり、それ以外はE2E暗号化は行っていない。(通信経路はSSLなどで暗号化されている。)
3-2の①の内容から、LINE Digital Technology (Shanghai) Limited(大連)において、LINEの捜査機関対応業務従事者用CMSの開発業務に従事していた人は、これらのデータにアクセスできていた。現在はアクセス権を削除している。
3-2の④の内容から、LINE Digital Technology (Shanghai) Limited(大連)において、アバター機能、LINEアプリ内のOCR機能の開発に従事していた人は、ユーザーが提供に同意した顔写真データにアクセスできていた。現在はアクセス権を削除している。
3-2の⑤の内容から、LINE Digital Technology (Shanghai) Limited(大連)において、Keep機能の開発者は、Keepされたデータ全てにアクセスできていた。現在はアクセス権を削除している。
https://www.asahi.com/articles/ASP3K64ZCP3KUHBI01W.html
https://www.gizmodo.jp/2021/03/5-reasons-to-ditch-gmail-for-protonmail.html
エンドツーエンド暗号化とゼロアクセスはProtonMailが約束する重要な特徴のひとつで、ProtonMailさえもユーザーのメッセージを読めません。そのうえ、コードと暗号化ライブラリはオープンソースであって誰でも見ることができるので、秘密裏にバックドアを隠せっこありません。
ちょっと疑問なんだけど、本番環境でソレが使われてるって保証はどうやってしてんの?
https://b.hatena.ne.jp/entry/4699887283822227714/comment/theatrical
ossだからバックドアが仕掛けられないと言う主張はおかしい。ossでもコードいじってバックドア仕掛けることはできるし。これはwebclientのjsで暗号化してるから、実際の暗号化処理が確認できて安全と言う方が正しいと思う
https://news.yahoo.co.jp/articles/d0d81e9791df0a601c4c4eb1a19088643a4291f7?page=1
アメリカだろ
公開されたアプリのバイナリから素材データを取り出したり、まだリンクされていないURLを推測で当てたりする行為のことを指していると思うが、
こうした行為は少なくとも不正アクセス禁止法には触れないよ。おっしゃる通り、規約違反ではあるだろう。
どうすればいいのか
それが分からない。
アプリなどであれば、暗号化したデータを事前配布した上で復号鍵をイベント直前に配布する、などが一般的な対策になる。
Webページの場合は画像や動画素材のURLを推測不可能なランダム文字列にした上でイベント開始直前にHTMLへのアクセス権限を出すくらいかな。
まぁ自国の古の言葉だから、国民として学ぶべき」とか精神論なのかな。愛国心の育成とかなのかな。
例えば、理系科目は「技術の発展、ひいては国の発展に繋がる」とかで納得。
現代文は「他社とのコミュニケーションのため、論理的思考力を養うため」とかで納得。
では古典は?
「故きを温ねて新しきを知る」はその通りだと思う。
けど、一次情報に各個人がアクセスする必要あるか?翻訳された文で十分じゃないか?
「文化の発展」のためか?
もちろん歌舞伎などの歴史ある文化、和歌集などは誇れる文化だと思うよ。でも義務教育でやるほどなのか?趣味レベルじゃないのか。
古典の代わりに、法律や情報処理のが国民に必要な教養ちゃうんか?
古典を学ぶことは意味がないとは思わないが、学ぶ人数が多すぎると思う。
---
(追記)
・義務教育って書いたけど、高校も含んで。履修する人多いから!
mazmot 国語の教師の中に勘違いしてるのが多いけど、国語科は基本的に英語と同じ語学教育。古文は、現代語を理解する上で役に立つ。ただ、漢文に関してはねえ。 https://mazmot.hatenablog.com/entry/2017/04/06/233342 2021/02/19
確かに現代語を学習するときに、由来や成り立ちとして古文が登場するときあるかも!
素人としては、そんな説明なくてもよいと思うけど、言語学者的には必要という判断なのかな。
B2igwzEE 「理系科目」「社会」というくくりのなかにも義務(+高校)教育に必須かどうかで議論の分かれる要素はあると思うが、なぜ国語だけを細分化して考えるのだろう
大分類でも、理由が共通して記載できるからまとめて書いているんだよ!
下記みたいに個別に書いても同じだよ!
国語を細分化しているのは、物事を理解するためには、階層や項目に分けて問題点を特定していくためだよ!
primedesignworks 現代文の「〜の気持ちを答えよ」の方が余程無駄な時間だと思う。著者は登場人物でないから正解が不明な問題よりも、古文漢文は正確に読めるかの方が多いから楽。ぼくは、古文漢文のお陰で国語の点数が成り立ってた。
「〜の気持ちを答えよ」は「〜の気持ちを文章を基に論理的に推測せよ」と質問しないとだめだよね!
mats3003 お前ら、科学の基礎研究に対する発見に「それは何の役に立つんですか?」というマスコミの質問を小馬鹿にするくせに、学校教育については平気でこういうこと尋ねるんだなwww
どういうこと?
基礎研究に対する「何の役に立つの?」には、「医療分野の新薬の開発に役立つ可能性がある」とか「暗号化のアルゴリズムに応用できる可能性がある」とか説明できるし、しているよね?
そうなんだ!
例えば、数学は「化学や物理などの自然法則を定量化して原理を利用するために使われる」とかみたいな感じで!
takinou0 古典やらないと日本人が過去に考えてきたリソースにアクセスできないからじゃないかな。明治よりも前の話が読めなくなると思う。 誰かに翻訳して貰えばいいじゃん、というのは英語も同じこと言えちゃう。
「古典が必要な理由」じゃなくて「古典が義務教育の対象となっている理由」を知りたいんだよね!
英語は、英語の文献はリアルタイムで増えていて、自身で一次情報にアクセスするメリットがあるよね!
古典は、新たな文献が発見されたとして、量はたかが知れていて、専門家が翻訳すれば足りるよね!
ぜんぜん同じことは言えちゃわないね!
take-it 文法を事細かにやるより、言葉の変化や文化の変遷、逆に変わらない人間の精神を学んだり、長年読みつがれてきたものを読む、原点に当たるという学問的態度こそが、古典の授業で大事だと思う。
「言葉の変化や文化の変遷」:それをまとめた結果を読めばいいんじゃないの?
「逆に変わらない人間の精神を学んだり」:現代文や翻訳文じゃだめなの?
「原点に当たるという学問的態度」:英語を修得したほうが効果大きいよね!
caps_lock 巨人の肩の上ではないのかも知れないけど、文学や社会でも我々は積み重ねられてきた何かの上に立っている。その何かを学ぶのは義務教育としてそう的外れではないのではないかと思う。
「その何かを学ぶのは義務教育としてそう的外れではないのではないかと思う。」この理由を説明してほしいんだよね!
つまり「古典を学ぶ」→「●●●という作用がある」→「義務教育として必要」って説明してほしいんだ!
about42 漢文を知って英語見直すわかるぞ感がある。こちらは語学にしろだとしても、現代語訳だけで原典を読める技術を与えなくていいって、有史以来から品行方正でとプロパガンダきてもファクトチェックもできへんぞ?
「漢文を知って英語見直すわかるぞ感がある」:ストレートに英語を勉強したほうが効果大きいよね!英語を修得するために、その補助のために古典を義務教育としているの?
「有史以来から品行方正でとプロパガンダきても」:ちょっと何言ってるかわからないです!
抽象に依存するってことなんだよね。発想が抽象的でむずかしい。
以下に示すbeforeコードの欠点は、IOに関係する部分とビジネスロジック(誇張)が密結合していることで、このメソッドを変更する理由が複数存在している点である。(単一責任の原則に違反)
変更理由は、IOにnullが入ってくることを考慮するとか、暗号化アルゴリズムを変更するあたりがぱっと浮かんだ。
afterのコードは、readerとwriterを引数から受け取れるようになっていて、インターフェースに依存するようになって、単一責任の原則を守るようになった。
```
# before
def encrypt
end
end
# after
end
end
```
まとめ
https://oauth.jp/blog/2013/09/26/rails-session-cookie/
結論を書くと、cookieセッションでもサーバから無効化はできる。
cookieの中身はサーバで暗号化していて、クライアントからは復号ができないものとする。
こういう前提であれば、サーバからセッションに「パスワードハッシュ値を種としたハッシュ値」をセッションに埋め込んでおく。リクエストを受け取るたびに、セッション内のハッシュ値をログインユーザに対して検証をすれば、パスワード変更以前のセッションなのかは判定ができる。
1ユーザがパスワードを変更したら全部のセッションが無効になるので、セッションを1つずつ無効にすることはできない。この制約をクリアできるなら、サーバの暗号キーが漏れない限りはcookieセッションへのリスクってほとんどないと思うんだよね。
警察で事件として立件できなかったら、厳密に法律的な意味において「詐欺にあった」と言えないものの、自分の中ではもう99%クロである。
・・・長文ですが、他の人のためになれば。
【概要】
1.マッチングサイトで出会った中国人女性に、仮想通貨の取引所に誘導され、ビットコインが引き出せなくなった。
1. 大手マッチングアプリで中国人女性と出会い、ラインのアカウントを交換する。
2. 女性と何日か他愛もない会話をする。話の中で、女性が自分は仮想通貨の投資をしていると言及。あなたもやってみたら?と誘われる。
3. 仮想通貨の取引所のリンクが送られてくる。スクショなどを見ながら、サイトに登録をする。
4. 登録後、ビットコインをそのサイトの口座に送金し、USドルに換金する。
5. ラインのメッセージのやりとりで実際に誘導を受けながら、long short をする。150ドルほど利益が出る。
6. 「1万ドルくらいあれば君はもっと稼げる」と発破をかけられるが、そんな大金はないので、渋る。
7. やや女性の口調が荒くなり、もっと金額を増やすべきだと言われる。面倒なのと、long shortで儲かったので、資金を引き揚げようと思う。
8. しかし、引き出し実行をするが、withdraw failed となり引き出しに失敗する。
9. 理由がわからないので、カスタマーサービスに連絡しようと思い、サイトのメールマークにカーソルを当てても何のリンクもないただの画像。問合せ先見当たらず。
10. そういえば、資金の追加を渋ってから、女性からのレスポンスが悪いことを思い出す。
11. ここでようやく嫌な予感に襲われる。「サイト名+scam」でググって調べ始める。
12. まったく同じ事象の記述を発見。パニックになる。いてもたってもいられず警察署に相談に行く。
13. 小部屋に通される。事情を話す。「確かにかなり黒いと思う。しかし、詐欺が確定した状態ではない」と警察官。「お金も取り戻せなさそうですね・・・」
14. 「マッチングサイトで出会った女性とのトラブルは多いようですね。中国人に限らず、日本人でも」と警察官。
15. くたくたになり帰宅。気持ちの整理をつけるためと、周知をしたいので、はてな匿名ダイアリーに経緯を書く(いまここ)
【反省点】
読者は「何で初めの段階でおかしいって思わなかったの?」と思うかもしれない。私は、正直に言うと、最後の最後まで、何の疑いもなくメッセージのやりとりを続けていた。自分でも、唖然としている。まさか自分が詐欺に引っかかるとは思いもしなかった。だが、起きたことは事実なので、なぜ自分は怪しいと思わなかったのかを考察し、次に活かしたいと思う。そうすることでしか、自分を慰められない。
私は、かつて仮想通貨関連のサイトの開発などを行っていたことがあり、ビットコインやブロックチェーンについても一般的な人より知識がある。
仮想通貨の取引所が、裏側でシステム的にどういう処理をやっているのか、何となく想像がつくくらいの知識がある。
しかし、なまじ知識があることで、抵抗感なくサイトへ誘導される結果となった。「ふーん、海外にもこういうサイトはあるよね」「へえ、投資やっているんだ」というように得意になっていたのだ。
金融的な知識で生計を立てているというところに、優秀さを感じてしまった。優秀な人の言うことだから、優秀な人はこういうツールを使っているんだ、と無意識的に判断し、何も疑わなかった。
今思うと、金額を追加しろと強い語調になっていると感じるが、実際にやりとりしているときはこれは海外の女性だし、気が強いんだろうくらいしか思っていなかった。また、「これはあなたのためです」というような前振りもあったため、自分のためを思った発言なんだな、と解釈してしまっていた。
今やリモートワークでチャットとズームのみという会社の少なくない。そういう社会の流れや、マッチングアプリやSNSが当たり前になっていくなかで、テキストだけのやりとりで人を信用するということを無意識のうちに行っていた。習慣化されていた。
5. まとめ
まとめると、ほとんど自動的に行動を起こしてしまうような条件がそろっていたことがわかる。自分自身の考え方の傾向、仮想通貨そのものに対する抵抗の少なさ、習慣化されたオンラインでのコミュニケーション。様々な無意識的な癖が、今回の事件を引き起こしたと言える。
【懸念点】
1. 一番の懸念点は、身分証の画像をサイトにアップロードしてしまったことだ。他のサイトで私を騙るために悪用することは容易だろう。これはもはや止めようがない。これ以降、不審なことがないか気を付けるより他ない状況である。
2. メールアドレス、パスワードを登録してしまったこと(パスワード流出の懸念)。メールアドレスはいつも自分がメインで使っているものを登録してしまった。また、パスワードもいくつかのサイトで使いまわしにしているものである。この手のサイトがパスワードを暗号化しているはずないので、サイトの運営者からはパスワードが見えてしまうだろう。
【よかったと思える点】
・金額が25万円なのは、まだましだったか。それこそ1万ドルもつぎ込んでいたらと思うと、ぞっとする。
・重要なアカウントとそうでないアカウントで、パスワードを使い分けていたこと。アマゾンのような売買があるサイトは、長めのパスワードを設定していた。それ以外の気軽に始めるようなものは、短いパスワードを使用していた(ちなみに、私が利用しているサイトのすべてのパスワードは変更済みです)。
・重要なアカウントは二段階認証にしていたこと。このおかげで、パスワードが流出しても不正ログインが防止できる。幸いなことに、まだ知らないデバイスからアクセスの通知はない。
【じゃあ、どうする?】
一連の出来事を受けて、私はナシーム・ニコラス・タレブの『ブラック・スワン』のデブのトニーのエピソードを思い出した。
次のようなものだ(NNTとは著者のナシーム・ニコラス・タレブのこと)。
------------------------
NNT:お二人さん、ここに公平なコインがあると思ってくれ。つまり投げた時に表が出る確率も裏が出る確率も同じだ。さて、99回投げたら全部表だった。次に投げた時に裏が出る確率はどれだけだろう?
ジョン:くだらない質問だ。もちろん半分だ。オッズは50%で、一回一回結果は互いに独立だって仮定したよね。
NNT:トニー、君はどう思う?
トニー:もちろん1%もないよ。
NNT:どうして?公平なコインだと言ったでしょ?つまり確率は毎回50%ってことだよ。
トニー:てめえ、いい加減なことを言うんじゃねえよ。さもなきゃ「ごじゅっぱあせんと」商売に金を出すようなカモだろ。コインは細工がしてあんだよ。公平なんてありえねーっちゅうんだ!(翻訳:99回投げて99回表が出たコインが公平だというあなたの仮定は、間違っている可能性が高いです)
トニー:(私の耳にささやく)銀行にいたころ、こういうオタクがわんさかいたよ。こいつらトロすぎる。ちょろいぜ。みんな簡単にだませるぞ。
------------------------
私は間違いなくドクター・ジョンの立場の人間だった。私は目の前で起きた事象(仮定)そのものは疑わずに、そのまま受け入れた。
結果、詐欺師が与えた枠内でしか物事を捉えられなくなっていた。つまり、もうその時点で、術中にはまっていたのだ。
気づけるか、気づけないか。意識できるか、意識できないか。この差は無限と思えるほど大きい。
別に、これは詐欺に限った話ではなくて、日常でありふれたことでもある。私の場合は詐欺だったが、新興宗教にはまってしまう人、ギャンブルにはまる人、自分の思考の癖に気づかず溺れる人、社会構造的につらい立場に立たざるを得なくなってしまう人・・・。人生の落とし穴なんて色々なところにある。脚にヒルがくっついていても、たいていの場合、それに気が付くのは、ヒルが血を吸ってブクブクに太った後である。私は賢く振舞っているつもりだったが、25万の損失と個人情報悪用のリスクを負ってしまった。正直なところ、今後、また同じような状況に出くわしたとき、うまく振る舞えるかどうか、自信がない。しかし、これからも生活をしていかなくてはならないし、仕事もある。落ち込んでいても仕方がないので、教訓を活かして、リスクを減らすように生活を続けていきたいと思う。
【教訓】
・稼ぎたいなら自分で稼ぎなよ。一番信じられるのは自分だよ?どうして知らない人についていくのさ?(=枠を自分で創発する)
・デブのトニーの教訓。「現実」をわかっているかどうか。提示された情報、作られた状況は加工されてない?
・これまで交流のあった友人と話す機会を作ろうよ。他者の視点を入れよう。今までは何事も自分は一人で考えがちだった。
【その他】
・詐欺だと半ば確証したのは、このサイト(https://sites.google.com/site/cryptokarakuchi/index)を見つけてから。これを見つけて、ようやく詐欺だと気が付いた。
・「まだ会ったことのないチャットだけでのやりとりの人を安易に信じるべきではなかったですよ。画面の向こう側に誰がいるか知りようがない」と警察官から言われたとき、ようやく目が覚めた思いがした。こんなこと昔からずっと言われていたのに。
・犯罪が国境をまたいで複雑化している。犯罪は身近にある。悪の法則という映画を思い出してしまった。怖い。
【追記】
・確かに写真は美人でした(笑)。下心はないと言えばウソになりますが、ガツガツはしていなかったですね。そもそも、コロナだし、気軽に出歩けない雰囲気もあったですね。冬が過ぎたら飯でも行こうくらいの感じです。
大企業ではほとんど採用されていると思うが、メールゲートウェイ型のセキュリティアプライアンスで、添付ファイルが
ついていたら暗号化解除して中に含まれるファイルに悪意があるマクロ、プログラムが含まれるものがないか検査して
OKだったら送信許可、NGなら削除されましたの通知だけを送るなどをしている。
従いスキャンできないと、一律でメールは削除、若しくは添付ファイルは削除されましたの通知のみ送られる。
企業のセキュリティポリシーとしてこうしているところはあります。ウイルス感染対策の検知対策確度を上げるため。
さらに、ローカルPCにウイルススキャンが入っていて添付ファイルをローカル保存するとき、開くときにスキャンが
メールゲートウェイ型アプライアンスで、企業のインバウンド/アウトバウンドメールを一律、
チェックしたいんじゃないのかな。それなりに意味はあると思いますが、例えばgmailだと、
これまで暗号化解除(解析&解除)でチェックしていたと思われるが、CPUリソース食いまくりな事
や実効性への疑問(ほかの対策若しくは、複数対策を組み合わせる事での効率化)があって、
添付ファイルはチェックされず送られるか、削除されて何も通知されないみたいです。
> 3、なんで毎回同じPWじゃないの?
同じパスワードだとそれが漏れたり、第三者に知れたら容易に暗号化解除して見れてしまうから。
> これは1の通り、プロキシサーバーでスキャンできる仕組みを作る必要があるってことでいい?
プロキシーサーバではなくてメールゲートウェイ型アプライアンス(古くはオンプレでInterscanなり、、最近は知らんけど)
> この場合既存の仕組みを使えないし、クラウドサービスにロックインされるし
> 腰が重いのもわかる気がする
なにか同等のサービスがあると思う。
とりあえず、G Suite(旧google apps)だとgmailのメールフィルタ機能が標準装備でゴミメールはだいぶ減る。
メールソフトへの実装があまりはやらなかったのもあるし、暗号化強度の問題もあったのでは。(推測)
公開鍵暗号方式の実装したもので使いやすいもの、若しくは この手の送り手/受け手が正しい人かつ、
悪意を持ったプログラムが含まれないことを担保できるメール送受信の仕組みを作ればよいと思う。
インターネット自体は、自律分散系システムなので送ったものが必ず届くという確証もないし、
公開鍵暗号で暗号化したメールを送って秘密鍵で開いてもらうのが良いと思う。
ZIP暗号でもいいけどパスワードはSMSにするとか経路を変えないと意味はないな。
