F's Garage：制約なしのシングルサインオン

author：えふしん

藤川真一について

人の良いジョンカビラと言われます。

AMN sponsor rolls

モバツイッター

ツイッターを楽しむ必須サービス！

MovaTwitter開発者blog | iPhoneのホーム画面にモバツイのアイコンを置こう！

ヘルメットアタカ

F's Garage関連

->えふしんポータル
milkstand.netポータルページ

->自分用ネット情報検索
私が購読している情報検索

->作ってみたもののまとめ

->えふしんのモバクリ(思いついたことをメモするモバイルクリップボード）

->隔月でイベントを行っています

このカテゴリ[会社活動]の最新30件

グローバルとガラパゴス 10年後のコンピュータ excel2007の近似曲線の数式の桁表示が足らなくて困ってる人の数　→ Dr.HOUSEに見られるスモールチームマネジメント受託のメリット、Webサービスのメリットリーマン潰れたとか。数字は借りるものじゃなく作るものエンジニアの未来サミットのログ見てみた。企業の目的は金儲けではありませんキャッシュしないQRコードメーカーライセンスビジネスとオープンビジネスホウレンソウに罪はない！点検商法 AmazonのkindleとiTunes Store 何故、Linuxはデスクトップで普及していないのか？を読んで。ソフトウエアエンジニアの底力は時間外活動で培われる、けどね。オトナ買い的にミニ四駆を作った大学生が言う「コミュニケーション能力」の過剰さ技術力とタレント性新卒採用は人材投資枠だから利用しなきゃ損損 iPhoneへの評価について。そんなこと誰もやらなかった、が正解なのでは？コストカットが目に見えてきたTV局大手町ビジネススクール「アンケートで市場は分かるのか」に参加した。傾きが常にプラスになってないと、死んだとみなす悪い癖が世の中にはあるすごいコードが保守性悪いっておかしくないですか？オレたちがなんとかしちゃってるのがマズイんじゃね？ってよくある現場の一言ちょっとちょっとカラメルのリニューアルで聞いてくださいよ。コミュニケーション能力は相対的な概念僕が僕であるために必要なこと。
[このカテゴリをもっと見る]

thatsPing

Syndicate this site (XML)

January 22, 2005

制約なしのシングルサインオン[会社活動]

ゴルフ場の電子ロッカーからキャッシュカードを盗んでスキミングをし、現金を引き降ろすという泥棒のニュースがあったが、

・ゴルフ場の経営者？社員？が協力し、マスターキーを渡して空けていた。
　サーバのroot権限を教えたようなもの。

でも、なんらかしらの手段でロッカーの暗証番号を取得し、その番号を使ってお金を降ろしていた。そこでは、

・キャッシュカードのパスワードは、ロッカーのパスワードと同じな人が多い。

この問題は会社一社で考えれば済むというもレベルではありませんね。

当然、こう考えるべきでしょう。

「パスワードのフォーマットが同じであれば、あるサイトに入れたログインIDとパスワードは、他のサイトでも同じである。」

なんの制限も設けてないシングルサインオン。それが現実でしょう。
この問題は会社一社で考えれば済むというもレベルではありませんね。

おそらくアマゾンや楽天規模のサイトが、サービス向上のために個人認証の仕組みを取り入れることで普及していくというパターンが一番可能性があるかなぁ。

NTTコムはICカード、MSはパスポートなんてのもありますね。この辺、すっかり忘れられてるけど。ICカードリーダーを配らなきゃいけないとか致命的な不便が、Webの「今使えること」というニーズに負けているので普及しませんね。PCに標準バンドルするとか、PC/AT仕様で個人情報保護向けプロファイルを設けるとか、そういうのも必要だと思いますが。

いや、ほんと決済、認証、ショッピングカート、セッションの部分はセキュリティフレームワークとして業界標準を作らないとダメだと思いますって。

とりあえず僕が設計する場合は、どなたかがblogで書いてたのを参考に、データベースに保存するパスワードは、運営者側もわからないように暗号化して保存することを勧めています。ゴルフ場の事件のように、ソーシャルハッキング？みたいな事態は避けられますので。

ただ、それでもアプリケーションサーバのデバッグログにはモロ残ってたりするんですけどね･･･。そんなログ残すなって（ｗ　＜これが問題。

■同じカテゴリ[会社活動]のエントリー
>>前の記事 CUIの罠
<<次の記事無償コンテンツとビジネスのジレンマ

End Of 「制約なしのシングルサインオン」