アカウント名:
パスワード:
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
それがね…長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりするそれだけならともかく、長期的には客離れが発生するのよ
いくら丁寧に説明しても分かっちゃくれない安全なんかより楽な方がいいんだろうね一般の人は
Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz
Cookieもヘッダ情報なので結局同じことになると思います。みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。
十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。
携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。
二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。(/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
ところが SSL だと i モード ID は使えない [nttdocomo.co.jp]という問題がありましてですね……。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
ヤマトだけ? (スコア:2, すばらしい洞察)
Re: (スコア:0)
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
Re: (スコア:0)
それがね…
長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりする
それだけならともかく、長期的には客離れが発生するのよ
いくら丁寧に説明しても分かっちゃくれない
安全なんかより楽な方がいいんだろうね
一般の人は
Re: (スコア:0)
Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz
Re:ヤマトだけ? (スコア:2)
Cookieもヘッダ情報なので結局同じことになると思います。
みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。
Re:ヤマトだけ? (スコア:1)
十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。
携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。
二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
(/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)
Re:ヤマトだけ? (スコア:1)
ところが SSL だと i モード ID は使えない [nttdocomo.co.jp]という問題がありましてですね……。
Re: (スコア:0)