アカウント名:
パスワード:
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワードこのあたりですかね。
#googleが悪いってのは、超大穴だと思う
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解し
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める
パスワードマネージャを使いましょう。もしパスワードがオートコンプリートされず自分でパスワードをタイプしなければならないなら、その時点でおかしいと気づきます。もちろん正規のサイトがログインフォームを変更したため補完されなくなった可能性もありますが、それこそそのときだけじっくりとドメインその他を確認すればいいのです。
ところが最近、これを邪魔してくるサイトがあったりして...OAuthだと、自分のブックマークから飛んで認証したりしてます。
外部サイトがtwitter.comの認証画面に手を出すことは不可能(できたらそれ自体が重大な脆弱性)ですが、どのようにしたら妨害できるのですか?OAuthなら「サイトが邪魔してくる」といった時点でおかしいことに気づけるでしょ。それともtwitterの話じゃなくて、あるOAuthを使用しているサイトが認証画面でオートコンプリートを無効にしてやがるということ?
外部サイトが妨害するんじゃなくて、正規サイトで(副作用かもしれないけど)妨害されてるところがあったりします。twitterは問題ないです。yahooとか銀行系も多かった気がする。たぶんjavascriptで処理してたりして、ブラウザが反応しないとかそういうのだと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
原因は… (スコア:0)
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワード
このあたりですかね。
#googleが悪いってのは、超大穴だと思う
原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:5, 参考になる)
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。
連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。
これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解し
Re: (スコア:2)
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。
特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める
Re: (スコア:0)
パスワードマネージャを使いましょう。もしパスワードがオートコンプリートされず自分でパスワードをタイプしなければならないなら、その時点でおかしいと気づきます。
もちろん正規のサイトがログインフォームを変更したため補完されなくなった可能性もありますが、それこそそのときだけじっくりとドメインその他を確認すればいいのです。
Re: (スコア:0)
ところが最近、これを邪魔してくるサイトがあったりして...
OAuthだと、自分のブックマークから飛んで認証したりしてます。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:0)
外部サイトがtwitter.comの認証画面に手を出すことは不可能(できたらそれ自体が重大な脆弱性)ですが、どのようにしたら妨害できるのですか?
OAuthなら「サイトが邪魔してくる」といった時点でおかしいことに気づけるでしょ。
それともtwitterの話じゃなくて、あるOAuthを使用しているサイトが認証画面でオートコンプリートを無効にしてやがるということ?
Re: (スコア:0)
外部サイトが妨害するんじゃなくて、正規サイトで(副作用かもしれないけど)妨害されてるところがあったりします。
twitterは問題ないです。yahooとか銀行系も多かった気がする。
たぶんjavascriptで処理してたりして、ブラウザが反応しないとかそういうのだと思います。