パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

池田信夫氏のGmailアカウントが乗っ取られる」記事へのコメント

  • by Anonymous Coward

    特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。

    PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワード
    このあたりですかね。

    #googleが悪いってのは、超大穴だと思う

    • 池田氏はTwitter [twitter.com]で

      Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。

      等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。
      連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。
      これについてツッコミを受けたのか

      自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。

      発言していますが [twitter.com]、本当にOAuthを理解し

      • 本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く

        さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
        例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。

        よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。
        特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める

        • by Anonymous Coward

          証明書を見る必要はありません。

          ブラウザのURL欄を見て
          ・「https://」で始まっているか
          ・ドメイン部分(先頭から3つめの「/」の直前)は正しいか
          を確認するだけです。
          最近のブラウザは大抵どちらも確認しやすいように工夫して表示されるようになっています。

          わざわざムダに証明書を開いて玄人振るのはやめましょう。

          # スマートフォンではURLを確認しにくいってのは同意

          • おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...
            ありゃ玄人ぶってて無駄なんかいね?

            • 無駄です。
              無駄です。
              無駄です。

              ブラウザのURL欄で、URLだけを確認すればよいのです。
              URL欄はほとんどのブラウザでウィンドウ上部に常に表示されていますから、視線を上にちょっと動かすだけです。

              初めてみるドメインであれば、証明書を見ることに意味があることもあるでしょうが、
              OAuthに関していえば「いつもと同じドメインか」だけを確認すればよいのです。

              逆に疑問なんですが、
              証明書を眺めて、『何を』確認しているんですか?

              敢えて書きますが、
              「誰でも簡単に確認できるようになっている」ことを、
              「わざわざ難しいことをしないといけない」ように吹聴するのは害悪ですらあると思っています。

              ↓貼っておきますね
              http://security.yahoo.co.jp/guide/3e.html#a3 [yahoo.co.jp]

              親コメント
              • 証明書を眺めて、『何を』確認しているんですか?

                言われてみれば、アドレスバー見れば済む程度しか確認していませんね。
                Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。

                親コメント
              • by Anonymous Coward

                あんたの頭は「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけないんですか?
                難儀な頭でいろいろ考えてコメントしたんでしょうが、恥の上塗りをしているだけですよ。

                AOuthがEV証明書だろうと全く関係ないでしょうが。
                一度はそのサイト(ドメイン)を信頼してアカウントを登録してるんだから。

                繰り返しますが、あなたが玄人ぶって分かりもしない証明書を眺める行為は害悪でしかありません。
                誰も見てない部屋の隅でひとりでこっそりやる分にはあなた一人の時間の無駄遣いですみますが、
                不特定多数が閲覧する場所に書き込むなんてことは金輪際しないでいただきたい。
                少なからず真に受けてしまう人が発生するんですから。

              • 何をそんなにヒートアップしてるんだ?
                素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。
                しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。

                まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。
                血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。

                親コメント
              • by Anonymous Coward

                素直に自分の間違いを認められませんか?

                別にヒートアップしてるわけでも何でもなく、
                ご自身のいい加減な発言が、何処かの誰かを危険にさらすことになっているということを自覚していただきたいだけです。
                まぁ、他人のセキュリティを脅かすような嘘や、自分の間違いを認めようとしない技術者をみると頭にくるのは確かですが。

                # だからちょっとこのストーリーの旬が過ぎてるにも関わらずコメントしてるんですよ。
                # Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。

              • by Anonymous Coward

                あ、マジレスすると、
                クールダウンするために「一旦全く無関係なことをやる」ってのはいい案だと思いますよ。
                でも証明書見るのは他者に「セキュリティ関連の確認をしている」という要らぬ誤解を与える可能性があるので、できればマインスイーパーあたりがベターかと。

              • 「私が間違っていました」と書けば満足?
                別にあなたの満足に興味はないんだが。

                聞いたことに答えた相手をバカ呼ばわりして「ヒートアップしているわけでも何でもなく」っておいおい、頭大丈夫か?
                少し冷静になって話を追ってみてくれ。そんなんじゃいくら正しいことを言ってても聞いてもらえないと思いますよ。(*1)

                私は私のやり方が正しいと言い続けていない上、なるほどあなたの言う通りアドレスバーを確認すれば十分だねって意味で「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」と書いたのは明らかでしょう?

                # Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。

                元の発言を改変できない以上、私が訂正するコメントを書くのと、あなたが訂正するコメントを書くのと、差はないでしょ。
                *1 ああそれをわかっていて、私に書いて欲しいの? 私はヒートアップしないけど、信用されるようなコメントを書いてもいないと思うなぁ

                親コメント
              • あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。
                私、技術者じゃないから。

                勝手に役割を決めるなんて失礼ですわっ。

                親コメント
              • by Anonymous Coward

                「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない頭は難儀な頭だとは思いませんか?
                そのことを「バカよばわり」と感じていらっしゃるのなら、謝罪いたします。
                私としては、「そんなはずないよね」っていう反意のつもりで書いたし、
                事実でないなら「バカよばわり」と感じることもないかと思いますが。

                # 蛇足ですけど、件のコメントの元コメにあたるあなたのコメントの2行目以降は、
                # 上記のような難儀な頭と捉えられてもしょうがない間抜けな言い訳にしかみえませんよ。
                # 1行目だけで終わっとけば、無駄に突っ込まれることもなかったのに。
                # と、ここまで書いて気付いたが、
                # あなたが「答えた」ことの1行目のみをもってその後の話をしているのに対し、私は、2

              • つもり、ねぇ。
                私は訂正したつもりって言ったら、あなたはどう言うのだろう。

                技術者ではないということで、いろいろと安心しました。

                ふーん。誰だろうねぇ、間違ってたのは。

                だから、「玄人ぶって」「素直に間違いを認めようとしない」という印象なわけです。

                灯台もと暗し。これが随所に出ていると思う。
                がんばれ、名無しの腰抜けさん。

                親コメント
              • by Anonymous Coward

                つもり、ねぇ。
                私は訂正したつもりって言ったら、あなたはどう言うのだろう。

                ここは文字だけでやり取りする掲示板ですから、単にあなたの「つもり」が伝わらなかったってことでしょう。
                私は誤解を与える表現をしたことに対して謝罪するといっています。
                それとも、もしかして本当に『「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない』頭なんですか?(いやそんなはずはない)

                あなたがどんなつもりで書いたのだとしても、
                『Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。』←玄人ぶってる(しかも言ってることが変)
                『Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。』←素直に間違いを認めよ

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...