パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生」記事へのコメント

  • ヤマトだけ? (スコア:2, すばらしい洞察)

    by Anonymous Coward
    まさかこれヤマトに限らず「クイックログイン」できるサイト全部に共通する話?
    • by Anonymous Coward
      つーか、「クイックログイン」って何?って俺はぐぐって、ようやく割と定番なやり方だと知った。

      と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。

      何か違う?

      • by Anonymous Coward

        それがね…
        長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりする
        それだけならともかく、長期的には客離れが発生するのよ

        いくら丁寧に説明しても分かっちゃくれない
        安全なんかより楽な方がいいんだろうね
        一般の人は

        • by Anonymous Coward on 2010年10月25日 15時02分 (#1847123)

          Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz

          親コメント
          • by ksada (4435) on 2010年10月26日 8時25分 (#1847511)

            Cookieもヘッダ情報なので結局同じことになると思います。
            みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。

            親コメント
            • by onetime_id (39093) on 2010年10月26日 12時42分 (#1847658) 日記

              十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。

              携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。

              二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。

              まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
              (/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)

              親コメント
            • by Anonymous Coward
              おかねはだいじだよー

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...