アカウント名:
パスワード:
ブラウザからサインアウトするだけでいいの?
一般ユーザがどんな経緯でこんなクラックを受けるのか、さっぱりわからん。次のどれ?・怪しいアプリケーションを使った。・怪しいサイトもしくはクラックを受けたサイトから Google ID でログインした。・Windows を使っていた。・Chrome を使っていた。・その他
現在の侵入経路は圧倒的に詐欺広告
怪しいChromeのアドオンをインストールしていた
#インストールした当時は怪しくなくてもあとからマルウェア混入することもある
業務用のパソコンで広告をクリックするな!広告ブロッカーを使え!
せんぱい!あなりちくすがみれません!
# 阿呆には使わせないが正解だがそうもいかないっていうジレンマ
1、そもそも構造に欠陥がある。2、アプリ許可をあえた後に特権が濫用される。
パスワードを変えてもアプリ側は特権を得ているのでやりたい放題って事
Windowsに例える方が理解しやすいと思うので。
アプリをインストールしてアプリにAdministrator権限を付与する。Administratorのパスワードを変えてもアプリはAdministrator権限があるので好き勝手にできる。で返信
Windowsとは一体...
脆弱性そのもの構造に欠陥があるものはその場限りの修正を施しても最後は廃止以外の選択肢しか無いInternet Explorerしかり
パスワードを変更してもユーザー権限が維持される脆弱性は一般的なOSにはありますね。
認証させるまではクッソ面倒くさいけど、一回通してしまったらやりたい放題みたいなデザイン。ぜったい悪用されると思ってた。
これに関してはAppleの、自分がどんなものにサインアップしているかがわかり、それが明快な言葉で、しかも何度も示されるデザインのが優れてる。古くさいとか面倒くさいとか言うやつもいるけど、少なくとも件のようなことにはならない。
MobileMeの頃に登録したAppleアカウント、パスワードの再発行だけは繰り返しできるがログインできないのがあるんだけど、ぶっ壊れてるのかねこれ。
2ファクタ認証になるので、当該アカウントの「信頼できる連絡先」宛てにSMSが届いているのでは?その連絡先が行方不明とか?あとは、https://support.apple.com/ja-jp/HT201771 [apple.com]に書かれていないケースとして、MobileMeをiCloudに移行してなくて、行き場のない状態になってるとか。
住所とか連絡先とかMobileMeアカウント時の各種情報が揃ってるなら、サポートに相談すればいいと思うけれど。IDは(取引記録上)消せないけれど(事実上)無効化してアクセスできなくする話、とかいろいろ融通利かせて相談に乗ってくれる(こともある)。
いろいろ調べてくれてありがたいが、もう諦めてる。Appleでは複垢禁止されてないし。そのメールアドレスでの資産は昔ダウンロード購入した曲ぐらいしかないので、サポートに連絡する気力もないんだよね。別に問題が起きてどうしてもログイン必要なら連絡してみるよ。ありがとうございました。
PC用のGoogleドライブって、ブラウザでは2週間に一度必要なGoogleアカウントの再認証(といってもパスワードを入れなおすだけで2段階ってわけではない)とか、パスワード変更後の再認証とか出てきたことないんですよね。ドライブだから特別扱いなのか、ブラウザの認証データを持ってきてるのかもしれないですけど、これっていいんだろうか?と…
勘違いしてますよ
そう言う話じゃありません
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
Android端末でGoogleアカウントを用意している場合 (スコア:0)
ブラウザからサインアウトするだけでいいの?
さっぱりわからん。 (スコア:0)
一般ユーザがどんな経緯でこんなクラックを受けるのか、さっぱりわからん。次のどれ?
・怪しいアプリケーションを使った。
・怪しいサイトもしくはクラックを受けたサイトから Google ID でログインした。
・Windows を使っていた。
・Chrome を使っていた。
・その他
Re: (スコア:0)
現在の侵入経路は圧倒的に詐欺広告
Re: (スコア:0)
怪しいChromeのアドオンをインストールしていた
#インストールした当時は怪しくなくてもあとからマルウェア混入することもある
Re: (スコア:0)
業務用のパソコンで広告をクリックするな!広告ブロッカーを使え!
Re: (スコア:0)
業務用のパソコンで広告をクリックするな!広告ブロッカーを使え!
せんぱい!あなりちくすがみれません!
# 阿呆には使わせないが正解だがそうもいかないっていうジレンマ
Re: (スコア:0)
1、そもそも構造に欠陥がある。
2、アプリ許可をあえた後に特権が濫用される。
パスワードを変えてもアプリ側は特権を得ているのでやりたい放題
って事
Re: (スコア:0)
Windowsに例える方が理解しやすいと思うので。
アプリをインストールしてアプリにAdministrator権限を付与する。
Administratorのパスワードを変えてもアプリはAdministrator権限があるので
好き勝手にできる。
で返信
Re: (スコア:0)
Windowsとは一体...
Re: (スコア:0)
脆弱性そのもの
構造に欠陥があるものはその場限りの修正を施しても
最後は廃止以外の選択肢しか無い
Internet Explorerしかり
Re: (スコア:0)
パスワードを変更してもユーザー権限が維持される脆弱性は一般的なOSにはありますね。
だからOAuthはクソだとあれほど (スコア:0)
認証させるまではクッソ面倒くさいけど、一回通してしまったらやりたい放題みたいなデザイン。
ぜったい悪用されると思ってた。
これに関してはAppleの、自分がどんなものにサインアップしているかがわかり、それが明快な言葉で、しかも何度も示されるデザインのが優れてる。
古くさいとか面倒くさいとか言うやつもいるけど、少なくとも件のようなことにはならない。
Re: (スコア:0)
MobileMeの頃に登録したAppleアカウント、パスワードの再発行だけは繰り返しできるがログインできないのがあるんだけど、ぶっ壊れてるのかねこれ。
Re: (スコア:0)
2ファクタ認証になるので、当該アカウントの「信頼できる連絡先」宛てにSMSが届いているのでは?その連絡先が行方不明とか?
あとは、
https://support.apple.com/ja-jp/HT201771 [apple.com]
に書かれていないケースとして、MobileMeをiCloudに移行してなくて、行き場のない状態になってるとか。
住所とか連絡先とかMobileMeアカウント時の各種情報が揃ってるなら、サポートに相談すればいいと思うけれど。
IDは(取引記録上)消せないけれど(事実上)無効化してアクセスできなくする話、とかいろいろ融通利かせて相談に乗ってくれる(こともある)。
Re: (スコア:0)
いろいろ調べてくれてありがたいが、もう諦めてる。Appleでは複垢禁止されてないし。
そのメールアドレスでの資産は昔ダウンロード購入した曲ぐらいしかないので、サポートに連絡する気力もないんだよね。
別に問題が起きてどうしてもログイン必要なら連絡してみるよ。ありがとうございました。
前から変だなと思ってたんだけど (スコア:0)
PC用のGoogleドライブって、ブラウザでは2週間に一度必要なGoogleアカウントの再認証(といってもパスワードを入れなおすだけで2段階ってわけではない)とか、パスワード変更後の再認証とか出てきたことないんですよね。ドライブだから特別扱いなのか、ブラウザの認証データを持ってきてるのかもしれないですけど、これっていいんだろうか?と…
Re: 新しいトークンを作成するまでの間に、パスワードを変更されるのでは? (スコア:1)
勘違いしてますよ
そう言う話じゃありません