アカウント名:
パスワード:
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。- 受け取りはコンビニでok- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
その仕様だと、帰省中や長期出張中などにスマホ無くしたときに新しいスマホが買えて便利だったんですよ
> IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。SMS認証必須だと、スマホ無くしているときに新しいスマホが買えない
> 受け取りはコンビニでok契約住所での受け取り必須だと、帰省中や長期出張中など自宅に居ないときに新しいスマホが買えない
> お買い物した通知は、購入時に指定されたメールに届き、本人には届かない通知先がスマホのメールアドレスだと、スマホ無くして
「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
危険という意味なら、SMSの確認コード送付方式も危険というのがもはや「常識」になりました
https://twitter.com/HiromitsuTakagi/status/1029735515312910337 [twitter.com]> SMSの確認コード送付方式だと、結局利用者が手でWeb画面に確認コードを入れるから、偽サイトでも入れてしまう人が出てしまう。> 先般の偽佐川急便サイトで、Apple IDにキャリア決済の設定をさせた事案で、その手口が既に使われたことから、今後広がってくると予想。
結局、ユーザ側のリテラシーが低かったらどんな手法をとっても完全ではありません
いやいやいやいや。もう少し理解して書いてくださいよ。引用されてるものについては、SMSに限らずTOTPなども同じ扱いで論じてるはず。
SMSの確認コードがよくないというのはそうなんだけど、その理由はSIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。
Man in the Middleならどんな方式も意味をなしません。
> いやいやいやいや。もう少し理解して書いてくださいよ。なんでリンク先読まないで書くの?
> SMSの確認コードがよくないというのはそうなんだけど、その理由は> SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。違います高木浩光氏は、『これ、米国では使われていないのは、米国のキャリアのSMSが「SMSインターセプト」の脆弱性があるからよね。』とした上で、他のツイートでは日本にはSMSインターセプトの脆弱性がないとしている。日本では問題ないから、日本では騒がなくていいという立場。
また、https://twitter.com/Hir
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
ナニコレ (スコア:2, 参考になる)
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
- 受け取りはコンビニでok
- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
スマホ無くしたときにも買えて便利だったのに (スコア:0)
その仕様だと、帰省中や長期出張中などにスマホ無くしたときに新しいスマホが買えて便利だったんですよ
> IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
SMS認証必須だと、スマホ無くしているときに新しいスマホが買えない
> 受け取りはコンビニでok
契約住所での受け取り必須だと、帰省中や長期出張中など自宅に居ないときに新しいスマホが買えない
> お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
通知先がスマホのメールアドレスだと、スマホ無くして
Re: (スコア:0)
「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。
またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
Re:スマホ無くしたときにも買えて便利だったのに (スコア:0)
危険という意味なら、SMSの確認コード送付方式も危険というのがもはや「常識」になりました
https://twitter.com/HiromitsuTakagi/status/1029735515312910337 [twitter.com]
> SMSの確認コード送付方式だと、結局利用者が手でWeb画面に確認コードを入れるから、偽サイトでも入れてしまう人が出てしまう。
> 先般の偽佐川急便サイトで、Apple IDにキャリア決済の設定をさせた事案で、その手口が既に使われたことから、今後広がってくると予想。
結局、ユーザ側のリテラシーが低かったらどんな手法をとっても完全ではありません
Re: (スコア:0)
いやいやいやいや。もう少し理解して書いてくださいよ。
引用されてるものについては、SMSに限らずTOTPなども同じ扱いで論じてるはず。
SMSの確認コードがよくないというのはそうなんだけど、その理由は
SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。
Man in the Middleならどんな方式も意味をなしません。
Re: (スコア:0)
> いやいやいやいや。もう少し理解して書いてくださいよ。
なんでリンク先読まないで書くの?
> SMSの確認コードがよくないというのはそうなんだけど、その理由は
> SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。
違います
高木浩光氏は、
『これ、米国では使われていないのは、米国のキャリアのSMSが「SMSインターセプト」の脆弱性があるからよね。』
とした上で、他のツイートでは日本にはSMSインターセプトの脆弱性がないとしている。
日本では問題ないから、日本では騒がなくていいという立場。
また、https://twitter.com/Hir