アカウント名:
パスワード:
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワードこのあたりですかね。
#googleが悪いってのは、超大穴だと思う
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解し
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める
証明書を見る必要はありません。
ブラウザのURL欄を見て・「https://」で始まっているか・ドメイン部分(先頭から3つめの「/」の直前)は正しいかを確認するだけです。最近のブラウザは大抵どちらも確認しやすいように工夫して表示されるようになっています。
わざわざムダに証明書を開いて玄人振るのはやめましょう。
# スマートフォンではURLを確認しにくいってのは同意
おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...ありゃ玄人ぶってて無駄なんかいね?
無駄です。無駄です。無駄です。
ブラウザのURL欄で、URLだけを確認すればよいのです。URL欄はほとんどのブラウザでウィンドウ上部に常に表示されていますから、視線を上にちょっと動かすだけです。
初めてみるドメインであれば、証明書を見ることに意味があることもあるでしょうが、OAuthに関していえば「いつもと同じドメインか」だけを確認すればよいのです。
逆に疑問なんですが、証明書を眺めて、『何を』確認しているんですか?
敢えて書きますが、「誰でも簡単に確認できるようになっている」ことを、「わざわざ難しいことをしないといけない」ように吹聴するのは害悪ですらあると思っています。
↓貼っておきますねhttp://security.yahoo.co.jp/guide/3e.html#a3 [yahoo.co.jp]
証明書を眺めて、『何を』確認しているんですか?
言われてみれば、アドレスバー見れば済む程度しか確認していませんね。Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。
あんたの頭は「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけないんですか?難儀な頭でいろいろ考えてコメントしたんでしょうが、恥の上塗りをしているだけですよ。
AOuthがEV証明書だろうと全く関係ないでしょうが。一度はそのサイト(ドメイン)を信頼してアカウントを登録してるんだから。
繰り返しますが、あなたが玄人ぶって分かりもしない証明書を眺める行為は害悪でしかありません。誰も見てない部屋の隅でひとりでこっそりやる分にはあなた一人の時間の無駄遣いですみますが、不特定多数が閲覧する場所に書き込むなんてことは金輪際しないでいただきたい。少なからず真に受けてしまう人が発生するんですから。
何をそんなにヒートアップしてるんだ?素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。
まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。
素直に自分の間違いを認められませんか?
別にヒートアップしてるわけでも何でもなく、ご自身のいい加減な発言が、何処かの誰かを危険にさらすことになっているということを自覚していただきたいだけです。まぁ、他人のセキュリティを脅かすような嘘や、自分の間違いを認めようとしない技術者をみると頭にくるのは確かですが。
# だからちょっとこのストーリーの旬が過ぎてるにも関わらずコメントしてるんですよ。# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。私、技術者じゃないから。
勝手に役割を決めるなんて失礼ですわっ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
原因は… (スコア:0)
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワード
このあたりですかね。
#googleが悪いってのは、超大穴だと思う
原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:5, 参考になる)
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。
連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。
これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解し
Re: (スコア:2)
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。
特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める
Re: (スコア:0)
証明書を見る必要はありません。
ブラウザのURL欄を見て
・「https://」で始まっているか
・ドメイン部分(先頭から3つめの「/」の直前)は正しいか
を確認するだけです。
最近のブラウザは大抵どちらも確認しやすいように工夫して表示されるようになっています。
わざわざムダに証明書を開いて玄人振るのはやめましょう。
# スマートフォンではURLを確認しにくいってのは同意
Re: (スコア:1)
おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...
ありゃ玄人ぶってて無駄なんかいね?
Re: (スコア:0)
無駄です。
無駄です。
無駄です。
ブラウザのURL欄で、URLだけを確認すればよいのです。
URL欄はほとんどのブラウザでウィンドウ上部に常に表示されていますから、視線を上にちょっと動かすだけです。
初めてみるドメインであれば、証明書を見ることに意味があることもあるでしょうが、
OAuthに関していえば「いつもと同じドメインか」だけを確認すればよいのです。
逆に疑問なんですが、
証明書を眺めて、『何を』確認しているんですか?
敢えて書きますが、
「誰でも簡単に確認できるようになっている」ことを、
「わざわざ難しいことをしないといけない」ように吹聴するのは害悪ですらあると思っています。
↓貼っておきますね
http://security.yahoo.co.jp/guide/3e.html#a3 [yahoo.co.jp]
Re: (スコア:1)
証明書を眺めて、『何を』確認しているんですか?
言われてみれば、アドレスバー見れば済む程度しか確認していませんね。
Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。
Re: (スコア:0)
あんたの頭は「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけないんですか?
難儀な頭でいろいろ考えてコメントしたんでしょうが、恥の上塗りをしているだけですよ。
AOuthがEV証明書だろうと全く関係ないでしょうが。
一度はそのサイト(ドメイン)を信頼してアカウントを登録してるんだから。
繰り返しますが、あなたが玄人ぶって分かりもしない証明書を眺める行為は害悪でしかありません。
誰も見てない部屋の隅でひとりでこっそりやる分にはあなた一人の時間の無駄遣いですみますが、
不特定多数が閲覧する場所に書き込むなんてことは金輪際しないでいただきたい。
少なからず真に受けてしまう人が発生するんですから。
Re: (スコア:1)
何をそんなにヒートアップしてるんだ?
素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。
しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。
まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。
血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。
Re: (スコア:0)
素直に自分の間違いを認められませんか?
別にヒートアップしてるわけでも何でもなく、
ご自身のいい加減な発言が、何処かの誰かを危険にさらすことになっているということを自覚していただきたいだけです。
まぁ、他人のセキュリティを脅かすような嘘や、自分の間違いを認めようとしない技術者をみると頭にくるのは確かですが。
# だからちょっとこのストーリーの旬が過ぎてるにも関わらずコメントしてるんですよ。
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。
私、技術者じゃないから。
勝手に役割を決めるなんて失礼ですわっ。