アカウント名:
パスワード:
旅行サイトってそこまで安全性を確保する必要ある?そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
全てのサイトがそうかは解りませんが、他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、・氏名・電話番号・クレジット番号があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、# 安全性の判断には考慮に含める価値はないのでしょうか...
むしろ、バス乗るのに何で電話番号やメールアドレスが必須なんだよってところがツッコミどころじゃないかな。要らない情報を集めようとするところは大抵ヤバイ。緑の窓口なら金払って終わりなのに。
高速バスなので、一部を除き無人駅です。メールアドレスはメールで乗車チケットが届くので。電話番号はバス停に居ない時の連絡用ですね。
バスの運転手や車掌が電話かけてくることなんてないだろ。
事故った時とかに、それらの情報を手がかりに乗客の安否確認や家族への連絡をするんじゃないすかね。
いや、普通の乗客は電話番号なんて伝えずに現金払いで乗ってるわけですし、少なくとも「必須」にする必要はないでしょう。そういうサービスをオプションで提供したいのなら、情報管理の精度と天秤にかけてありがたがる人もいるかもしれませんけれど。
東京〜大阪とかの夜行バスだと、事前にユーザ登録してチケット予約してから乗ったことしかなかった。2・3時間程度乗車する高速バスなら確かカウンターで現金でチケット買えたっけ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
弱いパスワードでもいいじゃん (スコア:-1)
旅行サイトってそこまで安全性を確保する必要ある?
そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?
今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。
あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
Re: (スコア:3, 興味深い)
全てのサイトがそうかは解りませんが、
他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、
・氏名
・電話番号
・クレジット番号
があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、
# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"
# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、
# 安全性の判断には考慮に含める価値はないのでしょうか...
Re: (スコア:1)
むしろ、バス乗るのに何で電話番号やメールアドレスが必須なんだよってところがツッコミどころじゃないかな。要らない情報を集めようとするところは大抵ヤバイ。緑の窓口なら金払って終わりなのに。
Re: (スコア:0)
高速バスなので、一部を除き無人駅です。
メールアドレスはメールで乗車チケットが届くので。
電話番号はバス停に居ない時の連絡用ですね。
Re: (スコア:0)
バスの運転手や車掌が電話かけてくることなんてないだろ。
Re: (スコア:1)
事故った時とかに、それらの情報を手がかりに乗客の安否確認や家族への連絡をするんじゃないすかね。
Re:弱いパスワードでもいいじゃん (スコア:0)
いや、普通の乗客は電話番号なんて伝えずに現金払いで乗ってるわけですし、少なくとも「必須」にする必要はないでしょう。そういうサービスをオプションで提供したいのなら、情報管理の精度と天秤にかけてありがたがる人もいるかもしれませんけれど。
Re:弱いパスワードでもいいじゃん (スコア:1)
東京〜大阪とかの夜行バスだと、事前にユーザ登録してチケット予約してから乗ったことしかなかった。
2・3時間程度乗車する高速バスなら確かカウンターで現金でチケット買えたっけ。