テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 39
ストーリー by headless
要求 部門より
要求 部門より
EFFは2月28日、テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう要求するキャンペーン「Fix It Already」を開始した(Deeplinks Blogの記事、
Mac Rumorsの記事、
Softpediaの記事)。
キャンペーンの対象は9社。AppleにはiCloudバックアップの暗号化、Android (Google)にはAndroidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること、Microsoft (Windows 10)には「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。
このほかの6社に対する要求は以下の通り。
キャンペーンの対象は9社。AppleにはiCloudバックアップの暗号化、Android (Google)にはAndroidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること、Microsoft (Windows 10)には「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。
このほかの6社に対する要求は以下の通り。
ほんとそう (スコア:1)
・Androidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること
・「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。
こんなんできて当たり前なのに、できないなんて、ユーザーのことなんてどうでもいいんだろうな、と思う。
従業員も何か思うことないんだろうか。
ところでAndroidのGoogleアカウントで、「ユーザーの詳細を同期」ってあるんだけど、何を同期しているいのかの説明がない。
ググってもすぐには見つからない。
何を同期しているんだろうなあ。
知ってる人いる?
Re:ほんとそう (スコア:1)
INTERNETは昔はアプリインストールするときに要求する権限として表示だけはされた。
ユーザーが権限を後から変更できるようにOSに機能追加したタイミングでINTERNETはセンシティブじゃないということで見えなくなった。
まあ、そういうことだよ。邪悪な企業にまともな対応を期待するだけ無駄。
Re: (スコア:0)
プライバシーやパーティション管理では先をいってる(いってた)Apple iOSでもネットワーク権限は触れないからなぁ。
セルラー禁止はあるけどWiFI禁止できない。これはただモバイルデータ通信量を抑えるためのものでセキュリティ目的じゃないし。
OSベンダー側は、ネットワークにつながるのは当たり前、という認識なんだろうか。
Re: (スコア:0)
ほんとこれ。
Googleは、とっととCyanogenMod/LinageOSでいうところのプライバシーガードを実装するべきだし。
Microsoftに至っては、ユーザがオフにできるとかできないとか以前に、そもそも公開鍵暗号というものを理解できていないようなので設計からやり直せ。暗号鍵の方を勝手に送信する公開鍵暗号とか意味不明にもほどがある。
Re: (スコア:0)
公開鍵関係なくねえ?
Re: (スコア:0)
仮に公開鍵暗号方式の話だとしても暗合化する方の鍵(公開鍵)はその名の通り公開するための鍵なんだから送信されても何ら問題なく二重にアホだな
複合化する方の鍵(秘密鍵)は絶対に送信なんぞしちゃダメだけど
Re: (スコア:0)
ユーザーの詳細を同期
Google+やGooglePlayの情報を同期させているのでは
https://android.stackexchange.com/questions/60894/in-a-google-account-... [stackexchange.com]
https://sim2.goo.ne.jp/article/post_141535 [goo.ne.jp]
Re: (スコア:0)
挙げられたリンクがどちらもGoogle公式でないところが、Googleのいやらしさを象徴している。
どこかにあるのかもしれないが、Google公式の回答が簡単に見つからないところが。
Re: (スコア:0)
公式だとこちらになるのかしら
ユーザー情報の詳細
https://support.google.com/accounts/answer/6304920?co=GENIE.Platform%3... [google.com]
Google サービスを利用する他のユーザーへの表示または非表示を指定できる情報は次のとおりです。
生年月日
性別
勤務先などの就業情報
個人および勤務先の連絡先情報
行ったことがある場所
学歴
連絡相手や共有相手に表示される可能性のある情報は次のとおりです
Re: (スコア:0)
ありがとう!
ただ、多分、「ユーザーの詳細を同期」で同期される情報とは違うんじゃないかなあ。
Re: (スコア:0)
ユーザーに関わる情報「全部」って理解して対応すりゃいいんじゃね。
入力されているものは全部。
googleに特定の情報は同期しないなんて期待するほうがおかしいのでは。
使うのやめろって言った方が早いだろ (スコア:0)
めんどくさい
Re:使うのやめろって言った方が早いだろ (スコア:1)
そんなストールマン的生活は髭がもじゃもじゃでないとできない。
Re: (スコア:0)
そこまでのモノグサがいちいち他人のことに声を発しなくても良いよ
AppleにはiCloudバックアップの暗号化、って (スコア:0)
中国から撤退しろってことですかね?
Re: (スコア:0)
いまでもiCloud キーチェーンは暗号化されているけど、iOSが中国では使えないってことないだろ?
Re: (スコア:0)
当局が復号できれば問題ないですよ
「デバイスの暗号化」 (スコア:0)
ググって調べたところ、最近のWindowsは、条件を満たすハードウェアで、
かつMicrosoftアカウントでログインしている場合、初回セットアップ時にBitLockerでシステムドライブを暗号化して、
「回復キー」(EFFのいう「暗号鍵」)をMicrosoftアカウントに保存するらしい。
なお、ユーザーは後でデバイス暗号化を解除できる。
また、Professional以上のEditionは、ユーザーが自分でBitLockerを構成できるので本件には該当しない。
…もともとMicrosoftアカウントでログインしている以上、Microsoftは当該デバイスへの認証情報を持っているわけで、
これはそんなに害はないのでは?
システムドライブなら、ほぼWindowsとイコールと考えてもよさそうに思える。
実際問題として、PCではハードウェア構成が変わったなどの場合で回復キーの再入力が求められる場合があるので、
どこかに保存しておかないとデバイスにアクセスできなくなってしまう。
一般ユーザーの利便性を考えると、Microsoftアカウントに保存するのはまあまあ妥当な対応に思える。
EFFが何を問題にしているのかよくわからない。
捜査機関・家族・窃盗犯が復号し放題なんですが (スコア:0)
Microsoftアカウントは、登録メールアドレスや電話番号へのメール・SMS・架電で、パスワードリセットが可能です。
そのため、スマホを一時的に支配下におけば、Microsoftアカウントのパスワードリセットを行って、回復キーを奪い取ることができます。
あとは、その回復キーを使って、BitLockerで暗号化されたデータを復号できます。
起動時に PIN やパスフレーズを必須にしていても、回復キーだけあれば復号できます。
捜査機関はPCとスマホを押収するだけで、PINもパスワードも不明でもデータを復号できます。
(Microsoftが捜査協力して回復キーを提供すればスマホも不要だし、捜査協力がなくてもスマホでパスワードリセット可)
ス
Re: (スコア:0)
全く期待できないというか、そんなことは期待してないのでは?
Re: (スコア:0)
じゃあなんでわざわざ勝手に「回復キー」まで作って暗号化してんの?
Re: (スコア:0)
> そのため、スマホを一時的に支配下におけば、
君はスマホを一時的に支配下におかれてばかりのおマヌケさん?
なんとうか、バカって100%を求めるよね
Re: (スコア:0)
Microsoftがハッキングされて暗号鍵が流出したらどうするんだろう。
>一般ユーザーの利便性を考えると、Microsoftアカウントに保存するのはまあまあ妥当な対応に思える。
そういう選択肢があるのはいいと思うよ。
でも、強制する理由がわからない。
あとハードウェア構成が変わって、パスフレーズではなく回復キーが必要になるのは、設計が悪いと思う。
そもそも回復キーが必須なのもおかしい。
Re: (スコア:0)
顧客「弊社情報はきっちり保護されているのかね」
あなた「データは起動時から完全に暗号化されています」
顧客「…なら、緊急時はどうするのかね」
あなた「Microsoft社は暗号化を解除できますので、安心です」
顧客「…。」
ドメイン (スコア:0)
嫌なら、自分でドメインサーバー立ち上げて自分のドメインサーバーで管理しろよ。
Re: (スコア:0)
普通は、MSA連動とか使わない。
LINEにも一言 (スコア:0)
基本機能のプロトコル公開
Re: (スコア:0)
日本にはEFFのような団体は出来なかったからなあ。
Re: (スコア:0)
ほんとこれ
ラインのようなプライヴァスィーを侵害するアプリケーションが無批判で使われ続けている日本は異常
Re: (スコア:0)
ホントコレ!ホントコレ!
Re: (スコア:0)
MIAUがそうなるかと思ったけど、ロビー介入や政治活動の意味を取り違えて、ただの左派というか反自民に成りはてたからなぁ
typo (スコア:0)
facbookはちとまずいんでは
Re: (スコア:0)
ちょっと前、あるサイトで出会った外人との会話。
外人 『Japanese! Japanese!』
俺 『うっせえよ毛唐、英語が世界の共通語とかナチュラルに思ってんじゃねえよ』
外人 『hmm…』
俺 『Fac book』
外人 『oh』
外人 『miss spell』
外人 『Fuck book』
俺 『Fuck book』
外人 『good!』
その後、一緒にオフ会に出かけ、友人になった。
Re: (スコア:0)
使い古されたネタだと書いておかないと勘違いする奴が出てくるぞ。
できたっけ? (スコア:0)
Twitter: ダイレクトメッセージをエンドツーエンドで暗号化する
Webサイト版のTwitterもあるけど、こんなこと可能か?
Re: (スコア:0)
一応ブラウザでエンドツーエンド通信する方法はあるけど、
ツイッター自体、チャットというよりは短文メールみたいな立ち位置だから、
エンドツーエンドは無理じゃないかなぁ。
iCloud上のバックアップデータって暗号化されてないの? (スコア:0)
これに触れてる人少ないけど一番ヤベーんじゃねーの?
Re: (スコア:0)
暗号化必要なら自分でしろよって話でしょ。
他人が暗号化したところで、復号化できるんだから一緒やろ
Re: (スコア:0)
暗号化はしてるけど、Appleの鍵でしてるから、あっち側で復号可能。
昔セレブのアカウントが乗っ取られた時などに、ユーザーがローカルで設定した鍵で暗号化する方式、が噂され(期待され)たけど、それからまったく音沙汰なしだから、たぶん今もApple鍵での運用のままだと思われる。
Appleのデータの取り扱いはこちら参照
https://support.apple.com/ja-jp/HT202303 [apple.com]
安全と言えるのは、ここの「エンドツーエンドで暗号化されたデータ」くらい。他は見られる可能性あり。