アカウント名:
パスワード:
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワードこのあたりですかね。
#googleが悪いってのは、超大穴だと思う
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付くので、名前ぐらい知っていた程度か、あるいは知らなかったのでしょう。
#別にOAuthを知らなければならないということはないのに#知ったかぶりして「し、知ってたわよ!ででで、でも見分け付きにくいのが問題よね!」とか言い出すあたりがノビーらしい
教訓としては◆ パスワードは使い回さない◆ パスワードを入力する必要があるときは、そこが正しいサイトかどうか確認すると言うごくごく基本的な事に落ち着きそうです。
その他直接的には関係がありませんが◆ 変なものを安易に認証しない◆ 安易に誰それが悪いと決めつけて公に話さない◆ 自分はパソコンに詳しいのだという根拠の無い盲信は危険であると言う事も言えるかも知れません。
なお、池田氏はBlogの中注意喚起を行っています [livedoor.biz]が
今回はGmailのアカウントが停止されても使えるhotmailのアカウントをつくり、マニラに私の住所(たぶん私書箱)までつくるなど、プロの計画的犯行と思われます。こういう「国際版振り込め詐欺」は流行しているようなのでご注意を。
と言っていますが計画的犯行と言うより全て自動でできる事ばかりなので(大半の国では宛名がめちゃくちゃでも住所があってれば郵便は届く)プロの犯行であることは間違い有りませんが、池田氏を狙って計画的に行ったというのは本人の妄想だと思われますので、俺は池田大先生ほど 悪名高く 有名じゃ無いから関係ないや、と思わずに対策をきちんとしておいた方がいいでしょうね。
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める人はどれだけいるのでしょう。そもそももPCと違って確認しにくいのがまた...。
パスワードに関するご指摘はその通りなので、簡単な防衛手段は、パスワード入力を求められた際「一度わざと間違える」でしょうか。これで通ればフィッシングですが、「俺やっちまった。けど、別に漏れて困る文字列でなし」とゆーことで。
とか言ってると、一回は必ずパスワード不一致返すのがトレンドになったりして? ひょっとして今でもそうなのかな。
一回は必ずパスワード不一致返すのがトレンドになったりして?
えっ?
私:フィッシングサイトへアクセス敵:似せたフォームを提示私:パスワードはxxxっと...敵:正規サイトのパスワード入力画面へリダイレクト私:あれ?間違えた?パスワードはxxxっと...正:認証OK私:やっぱり間違えてたか
送信してもらった時点で勝ち確定なので、わざわざ一致不一致を返さなくても「ただいまシステムメンテナンス中です」でいいと思います。
>さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。おかしいと気付いた時点で注意深くなればいいだけの話でしょ。ここで「僕が一番セキュリティを理解しているんだ!」とか言う人間が躍り出て「例外があるから正しいとは言えないのだ」と話を複雑にするからなかなか実用的なフィッシングに対する対策が普及しない。この手の輩は大抵はサービス提供者側と、利用者側の対策を混ぜて話をするから話が発散して役に立たない。さらに、本人はそれが正しいと勘違いしていて指摘してもさらに理屈を捏ねるだけなのでいつまでたって
fukaponの人ではないけど、「ブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。」というのは事実。
他人の無知を指摘してやったと思ったら、自分の無知を晒してしまって焦った? 頭冷やせば。
fukaponの人乙
パスワード抜かれてないのに巧妙ななりすましをされた!
パスワードマネージャを使いましょう。もしパスワードがオートコンプリートされず自分でパスワードをタイプしなければならないなら、その時点でおかしいと気づきます。もちろん正規のサイトがログインフォームを変更したため補完されなくなった可能性もありますが、それこそそのときだけじっくりとドメインその他を確認すればいいのです。
ところが最近、これを邪魔してくるサイトがあったりして...OAuthだと、自分のブックマークから飛んで認証したりしてます。
> ところが最近、これを邪魔してくるサイトがあったりして...kwsk
常用してないのでうろ覚えだがyahoo×chromeで確かできなかったかと。#パスワード記憶の方だったかもしれない。
タグがautocomplete="off"になってるとか。
たしかクレジットカード屋の3Dセキュアなんかはこう言う設定になっていたような。
<input type="password" autocomplete="off">かな
外部サイトがtwitter.comの認証画面に手を出すことは不可能(できたらそれ自体が重大な脆弱性)ですが、どのようにしたら妨害できるのですか?OAuthなら「サイトが邪魔してくる」といった時点でおかしいことに気づけるでしょ。それともtwitterの話じゃなくて、あるOAuthを使用しているサイトが認証画面でオートコンプリートを無効にしてやがるということ?
外部サイトが妨害するんじゃなくて、正規サイトで(副作用かもしれないけど)妨害されてるところがあったりします。twitterは問題ないです。yahooとか銀行系も多かった気がする。たぶんjavascriptで処理してたりして、ブラウザが反応しないとかそういうのだと思います。
> さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。ああ良かった、普通聞かれるよね。 #2244613が自信満々で言ってるんで一瞬自分が間違ってるのかと思ったよ。OAuth使ってるサイトに行ってパスワード聞かれるのを確認してからもなんだかもやっとしてた。
証明書を見る必要はありません。
ブラウザのURL欄を見て・「https://」で始まっているか・ドメイン部分(先頭から3つめの「/」の直前)は正しいかを確認するだけです。最近のブラウザは大抵どちらも確認しやすいように工夫して表示されるようになっています。
わざわざムダに証明書を開いて玄人振るのはやめましょう。
# スマートフォンではURLを確認しにくいってのは同意
おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...ありゃ玄人ぶってて無駄なんかいね?
無駄です。無駄です。無駄です。
ブラウザのURL欄で、URLだけを確認すればよいのです。URL欄はほとんどのブラウザでウィンドウ上部に常に表示されていますから、視線を上にちょっと動かすだけです。
初めてみるドメインであれば、証明書を見ることに意味があることもあるでしょうが、OAuthに関していえば「いつもと同じドメインか」だけを確認すればよいのです。
逆に疑問なんですが、証明書を眺めて、『何を』確認しているんですか?
敢えて書きますが、「誰でも簡単に確認できるようになっている」ことを、「わざわざ難しいことをしないといけない」ように吹聴するのは害悪ですらあると思っています。
↓貼っておきますねhttp://security.yahoo.co.jp/guide/3e.html#a3 [yahoo.co.jp]
証明書を眺めて、『何を』確認しているんですか?
言われてみれば、アドレスバー見れば済む程度しか確認していませんね。Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。
あんたの頭は「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけないんですか?難儀な頭でいろいろ考えてコメントしたんでしょうが、恥の上塗りをしているだけですよ。
AOuthがEV証明書だろうと全く関係ないでしょうが。一度はそのサイト(ドメイン)を信頼してアカウントを登録してるんだから。
繰り返しますが、あなたが玄人ぶって分かりもしない証明書を眺める行為は害悪でしかありません。誰も見てない部屋の隅でひとりでこっそりやる分にはあなた一人の時間の無駄遣いですみますが、不特定多数が閲覧する場所に書き込むなんてことは金輪際しないでいただきたい。少なからず真に受けてしまう人が発生するんですから。
何をそんなにヒートアップしてるんだ?素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。
まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。
素直に自分の間違いを認められませんか?
別にヒートアップしてるわけでも何でもなく、ご自身のいい加減な発言が、何処かの誰かを危険にさらすことになっているということを自覚していただきたいだけです。まぁ、他人のセキュリティを脅かすような嘘や、自分の間違いを認めようとしない技術者をみると頭にくるのは確かですが。
# だからちょっとこのストーリーの旬が過ぎてるにも関わらずコメントしてるんですよ。# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
あ、マジレスすると、クールダウンするために「一旦全く無関係なことをやる」ってのはいい案だと思いますよ。でも証明書見るのは他者に「セキュリティ関連の確認をしている」という要らぬ誤解を与える可能性があるので、できればマインスイーパーあたりがベターかと。
「私が間違っていました」と書けば満足?別にあなたの満足に興味はないんだが。
聞いたことに答えた相手をバカ呼ばわりして「ヒートアップしているわけでも何でもなく」っておいおい、頭大丈夫か?少し冷静になって話を追ってみてくれ。そんなんじゃいくら正しいことを言ってても聞いてもらえないと思いますよ。(*1)
私は私のやり方が正しいと言い続けていない上、なるほどあなたの言う通りアドレスバーを確認すれば十分だねって意味で「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」と書いたのは明らかでしょう?
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
元の発言を改変できない以上、私が訂正するコメントを書くのと、あなたが訂正するコメントを書くのと、差はないでしょ。*1 ああそれをわかっていて、私に書いて欲しいの? 私はヒートアップしないけど、信用されるようなコメントを書いてもいないと思うなぁ
あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。私、技術者じゃないから。
勝手に役割を決めるなんて失礼ですわっ。
「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない頭は難儀な頭だとは思いませんか?そのことを「バカよばわり」と感じていらっしゃるのなら、謝罪いたします。私としては、「そんなはずないよね」っていう反意のつもりで書いたし、事実でないなら「バカよばわり」と感じることもないかと思いますが。
# 蛇足ですけど、件のコメントの元コメにあたるあなたのコメントの2行目以降は、# 上記のような難儀な頭と捉えられてもしょうがない間抜けな言い訳にしかみえませんよ。# 1行目だけで終わっとけば、無駄に突っ込まれることもなかったのに。# と、ここまで書いて気付いたが、# あなたが「答えた」ことの1行目のみをもってその後の話をしているのに対し、私は、2
つもり、ねぇ。私は訂正したつもりって言ったら、あなたはどう言うのだろう。
技術者ではないということで、いろいろと安心しました。
ふーん。誰だろうねぇ、間違ってたのは。
だから、「玄人ぶって」「素直に間違いを認めようとしない」という印象なわけです。
灯台もと暗し。これが随所に出ていると思う。がんばれ、名無しの腰抜けさん。
ここは文字だけでやり取りする掲示板ですから、単にあなたの「つもり」が伝わらなかったってことでしょう。私は誤解を与える表現をしたことに対して謝罪するといっています。それとも、もしかして本当に『「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない』頭なんですか?(いやそんなはずはない)
あなたがどんなつもりで書いたのだとしても、『Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。』←玄人ぶってる(しかも言ってることが変)『Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。』←素直に間違いを認めよ
Gmailのパスワードを他と共通にしていたのがよくなかった。
なんでわざわざ宣言しちゃうのかな。他も含めて全部バラバラのものに変えた後なら良いんですが。きっと変更していますよね。きっと。
https://twitter.com/ikedanob/status/253290078154153984 [twitter.com]>「このアカウントは 0 日前に削除されました。以下のいずれかの再設定方法を選択するとアカウントへのアクセスを回復できます」>というページで何を選んでも復帰できない。
ここでフィッシングにかかってるよね。
まぁ、落ち着いて徳丸さんが書いた記事でも読もう。 Gmailの成りすまし事件、傾向と対策 - ockeghemのtumblr: [tokumaru.org]
徳丸さんは、twitter に対するフィッシングサイトで抜くぐらいなら、gmail のフィッシングの方が確率高いだろうし、と、おっしゃってますが、個人的には、twitter の方が「この連携アプリ、試してみるか」と、人を惹きつけておいて、フィッシングサイトを踏ませやすいような気がします。どうやら spam 送信に使われたみたいですから、踏ませた方は gmail にこだわりがあったわけじゃなく、単に spam を送るために使えるアカウントが欲しかっただけで、twitter のアカウントとパスワードがゲットできたら、各種サービスでログインを試行する、という感じじゃないかなぁ、と。
「また [livedoor.biz]」フィッシングに引っかかった、に一票
>#googleが悪いってのは、超大穴だと思う
状況が把握できていない(ログインできない障害だと思っていた)時の発言なんで、大目に見てあげて下さい……。
PCに詳しくない人って、PCが思い通りに動かないと大抵「壊れた!」って言うよね。
「壊れているのは手前の頭だ」と罵りたいですね。
私はプロバイダの中の人ですが、印刷できなくなったとか、パソコンの画面の色がおかしいのはお宅の装置がおかしいからだと、電話してくる人がいます。
その可能性はゼロじゃないけど、普通は PC の故障とかそういう話じゃないかなぁ。
英語で詐欺メールスパムが発信されているということは、犯人は乗っ取るのは誰のアカウントでも良かった(というか、誰を乗っ取ったのかなんて意識してない)んじゃないでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
原因は… (スコア:0)
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワード
このあたりですかね。
#googleが悪いってのは、超大穴だと思う
原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:5, 参考になる)
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。
連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。
これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付くので、名前ぐらい知っていた程度か、あるいは知らなかったのでしょう。
#別にOAuthを知らなければならないということはないのに
#知ったかぶりして「し、知ってたわよ!ででで、でも見分け付きにくいのが問題よね!」とか言い出すあたりがノビーらしい
教訓としては
◆ パスワードは使い回さない
◆ パスワードを入力する必要があるときは、そこが正しいサイトかどうか確認する
と言うごくごく基本的な事に落ち着きそうです。
その他直接的には関係がありませんが
◆ 変なものを安易に認証しない
◆ 安易に誰それが悪いと決めつけて公に話さない
◆ 自分はパソコンに詳しいのだという根拠の無い盲信は危険である
と言う事も言えるかも知れません。
なお、池田氏はBlogの中注意喚起を行っています [livedoor.biz]が
今回はGmailのアカウントが停止されても使えるhotmailのアカウントをつくり、マニラに私の住所(たぶん私書箱)までつくるなど、プロの計画的犯行と思われます。こういう「国際版振り込め詐欺」は流行しているようなのでご注意を。
と言っていますが計画的犯行と言うより全て自動でできる事ばかりなので(大半の国では宛名がめちゃくちゃでも住所があってれば郵便は届く)プロの犯行であることは間違い有りませんが、池田氏を狙って計画的に行ったというのは本人の妄想だと思われますので、俺は池田大先生ほど
悪名高く有名じゃ無いから関係ないや、と思わずに対策をきちんとしておいた方がいいでしょうね。Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:2)
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。
特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める人はどれだけいるのでしょう。そもそももPCと違って確認しにくいのがまた...。
パスワードに関するご指摘はその通りなので、簡単な防衛手段は、パスワード入力を求められた際「一度わざと間違える」でしょうか。
これで通ればフィッシングですが、「俺やっちまった。けど、別に漏れて困る文字列でなし」とゆーことで。
とか言ってると、一回は必ずパスワード不一致返すのがトレンドになったりして? ひょっとして今でもそうなのかな。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:2, すばらしい洞察)
一回は必ずパスワード不一致返すのがトレンドになったりして?
えっ?
私:フィッシングサイトへアクセス
敵:似せたフォームを提示
私:パスワードはxxxっと...
敵:正規サイトのパスワード入力画面へリダイレクト
私:あれ?間違えた?パスワードはxxxっと...
正:認証OK
私:やっぱり間違えてたか
Re: (スコア:0)
送信してもらった時点で勝ち確定なので、わざわざ一致不一致を返さなくても
「ただいまシステムメンテナンス中です」でいいと思います。
Re: (スコア:0)
>さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
おかしいと気付いた時点で注意深くなればいいだけの話でしょ。
ここで「僕が一番セキュリティを理解しているんだ!」とか言う人間が躍り出て
「例外があるから正しいとは言えないのだ」と話を複雑にするからなかなか実用的なフィッシングに対する対策が普及しない。
この手の輩は大抵はサービス提供者側と、利用者側の対策を混ぜて話をするから話が発散して役に立たない。
さらに、本人はそれが正しいと勘違いしていて指摘してもさらに理屈を捏ねるだけなのでいつまでたって
Re: (スコア:0)
fukaponの人ではないけど、「ブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。」というのは事実。
他人の無知を指摘してやったと思ったら、自分の無知を晒してしまって焦った? 頭冷やせば。
Re: (スコア:0)
fukaponの人乙
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
パスワード抜かれてないのに巧妙ななりすましをされた!
Re: (スコア:0)
パスワードマネージャを使いましょう。もしパスワードがオートコンプリートされず自分でパスワードをタイプしなければならないなら、その時点でおかしいと気づきます。
もちろん正規のサイトがログインフォームを変更したため補完されなくなった可能性もありますが、それこそそのときだけじっくりとドメインその他を確認すればいいのです。
Re: (スコア:0)
ところが最近、これを邪魔してくるサイトがあったりして...
OAuthだと、自分のブックマークから飛んで認証したりしてます。
Re: (スコア:0)
> ところが最近、これを邪魔してくるサイトがあったりして...
kwsk
Re: (スコア:0)
常用してないのでうろ覚えだがyahoo×chromeで確かできなかったかと。
#パスワード記憶の方だったかもしれない。
Re: (スコア:0)
タグが
autocomplete="off"
になってるとか。
たしかクレジットカード屋の3Dセキュアなんかはこう言う設定になっていたような。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
<input type="password" autocomplete="off">かな
Re: (スコア:0)
外部サイトがtwitter.comの認証画面に手を出すことは不可能(できたらそれ自体が重大な脆弱性)ですが、どのようにしたら妨害できるのですか?
OAuthなら「サイトが邪魔してくる」といった時点でおかしいことに気づけるでしょ。
それともtwitterの話じゃなくて、あるOAuthを使用しているサイトが認証画面でオートコンプリートを無効にしてやがるということ?
Re: (スコア:0)
外部サイトが妨害するんじゃなくて、正規サイトで(副作用かもしれないけど)妨害されてるところがあったりします。
twitterは問題ないです。yahooとか銀行系も多かった気がする。
たぶんjavascriptで処理してたりして、ブラウザが反応しないとかそういうのだと思います。
Re: (スコア:0)
> さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
ああ良かった、普通聞かれるよね。
#2244613が自信満々で言ってるんで一瞬自分が間違ってるのかと思ったよ。
OAuth使ってるサイトに行ってパスワード聞かれるのを確認してからもなんだかもやっとしてた。
Re: (スコア:0)
証明書を見る必要はありません。
ブラウザのURL欄を見て
・「https://」で始まっているか
・ドメイン部分(先頭から3つめの「/」の直前)は正しいか
を確認するだけです。
最近のブラウザは大抵どちらも確認しやすいように工夫して表示されるようになっています。
わざわざムダに証明書を開いて玄人振るのはやめましょう。
# スマートフォンではURLを確認しにくいってのは同意
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...
ありゃ玄人ぶってて無駄なんかいね?
Re: (スコア:0)
無駄です。
無駄です。
無駄です。
ブラウザのURL欄で、URLだけを確認すればよいのです。
URL欄はほとんどのブラウザでウィンドウ上部に常に表示されていますから、視線を上にちょっと動かすだけです。
初めてみるドメインであれば、証明書を見ることに意味があることもあるでしょうが、
OAuthに関していえば「いつもと同じドメインか」だけを確認すればよいのです。
逆に疑問なんですが、
証明書を眺めて、『何を』確認しているんですか?
敢えて書きますが、
「誰でも簡単に確認できるようになっている」ことを、
「わざわざ難しいことをしないといけない」ように吹聴するのは害悪ですらあると思っています。
↓貼っておきますね
http://security.yahoo.co.jp/guide/3e.html#a3 [yahoo.co.jp]
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
証明書を眺めて、『何を』確認しているんですか?
言われてみれば、アドレスバー見れば済む程度しか確認していませんね。
Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。
Re: (スコア:0)
あんたの頭は「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけないんですか?
難儀な頭でいろいろ考えてコメントしたんでしょうが、恥の上塗りをしているだけですよ。
AOuthがEV証明書だろうと全く関係ないでしょうが。
一度はそのサイト(ドメイン)を信頼してアカウントを登録してるんだから。
繰り返しますが、あなたが玄人ぶって分かりもしない証明書を眺める行為は害悪でしかありません。
誰も見てない部屋の隅でひとりでこっそりやる分にはあなた一人の時間の無駄遣いですみますが、
不特定多数が閲覧する場所に書き込むなんてことは金輪際しないでいただきたい。
少なからず真に受けてしまう人が発生するんですから。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
何をそんなにヒートアップしてるんだ?
素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。
しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。
まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。
血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。
Re: (スコア:0)
素直に自分の間違いを認められませんか?
別にヒートアップしてるわけでも何でもなく、
ご自身のいい加減な発言が、何処かの誰かを危険にさらすことになっているということを自覚していただきたいだけです。
まぁ、他人のセキュリティを脅かすような嘘や、自分の間違いを認めようとしない技術者をみると頭にくるのは確かですが。
# だからちょっとこのストーリーの旬が過ぎてるにも関わらずコメントしてるんですよ。
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
Re: (スコア:0)
あ、マジレスすると、
クールダウンするために「一旦全く無関係なことをやる」ってのはいい案だと思いますよ。
でも証明書見るのは他者に「セキュリティ関連の確認をしている」という要らぬ誤解を与える可能性があるので、できればマインスイーパーあたりがベターかと。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
「私が間違っていました」と書けば満足?
別にあなたの満足に興味はないんだが。
聞いたことに答えた相手をバカ呼ばわりして「ヒートアップしているわけでも何でもなく」っておいおい、頭大丈夫か?
少し冷静になって話を追ってみてくれ。そんなんじゃいくら正しいことを言ってても聞いてもらえないと思いますよ。(*1)
私は私のやり方が正しいと言い続けていない上、なるほどあなたの言う通りアドレスバーを確認すれば十分だねって意味で「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」と書いたのは明らかでしょう?
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
元の発言を改変できない以上、私が訂正するコメントを書くのと、あなたが訂正するコメントを書くのと、差はないでしょ。
*1 ああそれをわかっていて、私に書いて欲しいの? 私はヒートアップしないけど、信用されるようなコメントを書いてもいないと思うなぁ
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。
私、技術者じゃないから。
勝手に役割を決めるなんて失礼ですわっ。
Re: (スコア:0)
「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない頭は難儀な頭だとは思いませんか?
そのことを「バカよばわり」と感じていらっしゃるのなら、謝罪いたします。
私としては、「そんなはずないよね」っていう反意のつもりで書いたし、
事実でないなら「バカよばわり」と感じることもないかと思いますが。
# 蛇足ですけど、件のコメントの元コメにあたるあなたのコメントの2行目以降は、
# 上記のような難儀な頭と捉えられてもしょうがない間抜けな言い訳にしかみえませんよ。
# 1行目だけで終わっとけば、無駄に突っ込まれることもなかったのに。
# と、ここまで書いて気付いたが、
# あなたが「答えた」ことの1行目のみをもってその後の話をしているのに対し、私は、2
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
つもり、ねぇ。
私は訂正したつもりって言ったら、あなたはどう言うのだろう。
技術者ではないということで、いろいろと安心しました。
ふーん。誰だろうねぇ、間違ってたのは。
だから、「玄人ぶって」「素直に間違いを認めようとしない」という印象なわけです。
灯台もと暗し。これが随所に出ていると思う。
がんばれ、名無しの腰抜けさん。
Re: (スコア:0)
つもり、ねぇ。
私は訂正したつもりって言ったら、あなたはどう言うのだろう。
ここは文字だけでやり取りする掲示板ですから、単にあなたの「つもり」が伝わらなかったってことでしょう。
私は誤解を与える表現をしたことに対して謝罪するといっています。
それとも、もしかして本当に『「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない』頭なんですか?(いやそんなはずはない)
あなたがどんなつもりで書いたのだとしても、
『Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。』←玄人ぶってる(しかも言ってることが変)
『Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。』←素直に間違いを認めよ
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
Gmailのパスワードを他と共通にしていたのがよくなかった。
なんでわざわざ宣言しちゃうのかな。他も含めて全部バラバラのものに変えた後なら良いんですが。きっと変更していますよね。きっと。
Re:原因は… (スコア:3, 参考になる)
https://twitter.com/ikedanob/status/253290078154153984 [twitter.com]
>「このアカウントは 0 日前に削除されました。以下のいずれかの再設定方法を選択するとアカウントへのアクセスを回復できます」
>というページで何を選んでも復帰できない。
ここでフィッシングにかかってるよね。
Re:原因は… (スコア:2)
まぁ、落ち着いて徳丸さんが書いた記事でも読もう。
Gmailの成りすまし事件、傾向と対策 - ockeghemのtumblr: [tokumaru.org]
徳丸さんは、twitter に対するフィッシングサイトで抜くぐらいなら、gmail のフィッシングの方が確率高いだろうし、と、おっしゃってますが、個人的には、twitter の方が「この連携アプリ、試してみるか」と、人を惹きつけておいて、フィッシングサイトを踏ませやすいような気がします。どうやら spam 送信に使われたみたいですから、踏ませた方は gmail にこだわりがあったわけじゃなく、単に spam を送るために使えるアカウントが欲しかっただけで、twitter のアカウントとパスワードがゲットできたら、各種サービスでログインを試行する、という感じじゃないかなぁ、と。
Re:原因は… (スコア:1)
「また [livedoor.biz]」フィッシングに引っかかった、に一票
Re: (スコア:0)
>#googleが悪いってのは、超大穴だと思う
状況が把握できていない(ログインできない障害だと思っていた)時の
発言なんで、大目に見てあげて下さい……。
PCに詳しくない人って、PCが思い通りに動かないと大抵「壊れた!」って言うよね。
Re:原因は… (スコア:2, 参考になる)
「壊れているのは手前の頭だ」と罵りたいですね。
Re: (スコア:0)
私はプロバイダの中の人ですが、印刷できなくなったとか、パソコンの画面の色がおかしいのはお宅の装置がおかしいからだと、電話してくる人がいます。
その可能性はゼロじゃないけど、普通は PC の故障とかそういう話じゃないかなぁ。
Re: (スコア:0)
英語で詐欺メールスパムが発信されているということは、犯人は乗っ取るのは誰のアカウントでも良かった(というか、誰を乗っ取ったのかなんて意識してない)んじゃないでしょうか。