愛車:マツダアテンザ
Webを中心とした、ビジネス&テクノロジーに関する思いつき
by F-shin
[ このサイトについて ] [ F-shinについて ] [ トップ ]
author:えふしん
photo_20.jpg
藤川真一について

モバツイの中の人
人の良いジョンカビラと言われます。ソフト哲学者を目指します。
AMN sponsor rolls
応援します!
ツイッターやるなら
【モバツイッター】
movatwitter_iphone.gif
ツイッターを楽しむ必須サービス!

そして、

iPhoneでもモバツイ

iMovatwitter iMovatwitter

寄付の募集を開始しました。 | MovaTwitter開発者blog
for iPhone App
世界で人気iPhoneアプリを探す
Google Friend Connect
このカテゴリ[Web系]の最新30件
ワーナー作品のオンデマンド配信サービス「ワーナーオンデマンド」 動画ベーススライドプレゼンよりも、スライドベース動画プレゼンの方がWeb向き。 mixiアプリやるならAmazon EC2 モバツイが月間1億PV到達の見通し ツイッターとはなんぞや?のわかりやすい回答 ツイッターか?ブログか?思考の整理学 【Best Mobile Based Twitter App】モバツイッターがTOP5にノミネートされました。投票のご協力を!【敵はtweetie2】 【Best Mobile Based Twitter App】モバツイッターのOpen Web Awardsへの投票のご協力をお願いします! モバツイッターが日経ビジネスアソシエに掲載されました。 ネットビジネスで商標は大事です。 twitterによって世界が集約され心の戦争が起きる おまとめマンxTwitterキャンペーン セカイカメラは、21世紀のネットスケープになるか?! 「食事中なう」が無意味だと?あれ?ライフログってなんだか意味わかってる? 岡田有花さんに取材された! EC2のロードバランサーのIPアドレスが変わる罠 twitterの「つぶやき」の有効期間は2分 究極のスモールスタートの方法 自宅サーバからEC2へ 技術や用語に興味ないユーザーを「一般ユーザー」と括るのキケン アマゾンEC2 ナイトセミナ 第 2 回に出演します。 モバツイッターの政治家アカウント一時サスペンドの話 【twitter話】ネットを使う人には2種類のタイプがある ビバ☆ヒウィッヒヒーは、ネットコミュニケーションの問題をズバリ突いている うっかりしてたらモバツイの延べ登録ユーザー数が10万人を超えていました。 POPitがカラメルの商品紹介&アフィリエイトに対応! twitterは「みんなのもの」じゃない。 入力フォームの美学と現実 日本人にとって一番使われてるハッシュタグ ツイッターはステートレスなコミュニケーションでありつづけて欲しい。 夜のプロトコル「NO_04「We love twitter & tumblr.」~あの娘、ぼくがリブログ決めたらどんな顔するだろう~」に参加した。
[このカテゴリをもっと見る]
F's Garage関連
->えふしんポータル
milkstand.netポータルページ
->自分用ネット情報検索
私が購読している情報検索
->作ってみたもののまとめ
->えふしんのモバクリ(思いついたことをメモするモバイルクリップボード)
->隔月でイベントを行っています
Syndicate this site (XML)
Powered by
Movable Type
想創社
■お知らせ
モバツイッターが、Open Web AwardsのBest Mobile Based Twtter Appを受賞しました!

June 26, 2009

メールって盗聴されますか?[Web系]

久々に興味を持つネタに出会った。(最近、みんな飽きちゃったのか、こういう熱い話、はてブで見かけなくて)

ブログが続かないわけ | クライアントの要望を満たすと、セキュリティ的に問題がある。どうしたらいい?


1.ログインに失敗したときのメッセージ

ログイン失敗時のメッセージに「パスワードが間違っています」と書くと、ログインフォームが、パスワード検証機になってしまうので、そういう表記はやめたいのだけど、お客さんは、利便性を取って、「パスワードが間違っています」と書いてくださいといわれる、という話。

個人的なサービス判断としては、

ログインフォームは、なんとしても「パスワード検証機にはさせない。」

もしパスワードのエラーを出させるなら、5回間違えたら、アカウントロックして、本人にロック解除メールを送るかな。

銀行のサイトほどガチガチじゃないけど、銀行に近いものは実現できる。
これに関しては、そこまでやらないと危険ですと訴えます。


2.パスワードリマインダーに失敗したときのメッセージ

パスワードリマインダーでのエラーで、「メアド登録されてません」て書いたら、メアド登録してることはバレちゃいますね、という話。

僕的には、これはOK

何故登録されてることがバレたらいけないの?

・・・という理由に答えられるサイトか否かで対応が変わるべきだと思います。

それこそソーシャルサイトでメアドバレバレなサイトだったりしたら隠す意味ないし。はてなIDとかもそうですよね。


3. SSL のかかっているフォームの内容をメールで飛ばす

SSLで記入されたフォームの内容をメールのプレーンテキストで送ったら意味ないやん!という話。

個人的感覚ではあまりやりたくないけど、それは感覚的な話でしかなくて、その経路において、何がダメなのかが明確でないならOKですかね。

「信用ならない盗聴者がいます」、とかが明確ならば。


僕は、そもそもSSLって何の意味があるんだろう、とか考えたりします。

もちろん商売のコンセンサスとして必要だから、というのがあるので、普通にサーバ証明書にお金出します。

そうではなく実際の重要性としては、情報が暗号化されることよりも、そのサイトが正しいサイトである、ということが保証されることが一番、大事なんじゃないかなぁ。

(こういうのをネットで書くとすげー怒られるかもしれない。)


それであればメールで送ることとは別次元の意味合いなのではないかと。


メールは、信用ならないアーキテクチャである、と言ったところで、メールで送られてる重要情報がいくらでもある昨今、そんなことを言っても通用しないと思うし。

例えば、あれだけ注目され、仕事にメールを使うと公言していた堀江さんのメールが盗聴されましたか?

もちろん事例となる問題があるなら、そんなことしません。もちろんしません。
(教えてください)

いずれにせよ大事なのは、いくら「かくあるべし」を訴えたところで、それが「エンジニアのこだわり」としか相手に捕らえられないなら、いくらこだわっても意味がないし、むしろそういう面でエンジニアは、ビジネスの意思決定者には信用されてないので、もし、本当にマズイんだと思うのであれば、嘆くのではなく、コストも不便も解決する何かを提案することはできないのかな?と思うところです。


ユーザビリティの話はさておき、SSLのメールの話で言うと、ワークフローではなくコストの問題で、メール送信にせざるを得ないのであれば、一旦、入力内容を受ける管理画面をフリーで提供するなり、いくばくかの保守料で提供できるようにするとか、いっそASPサービスにするとかで、メールにログインアドレスが書いたものを送信して、せめてクッキー認証やIP認証で、SSL領域にログインさせる何かを提供するとか、技術で解決したらいいんじゃないかなーと思うわけ。

そこがうまくビジネスになれば、おいしいし。顧客のロックインにも繋がるかもしれないし、と。


ブログが続かないわけ | クライアントの要望を満たすと、セキュリティ的に問題がある。どうしたらいい?

のコメント欄に同じようなことを書いて、解答をいただいているので是非そちらもご覧ください。

なるほど、と、面白いやりとりができて、うれしいです。

ありがとうございます。

■同じカテゴリ[Web系]のエントリー
<<前の記事 「正しい反論を得る」ことは重要なネットリテラシーの一つ
>>次の記事 とりあえずやってみて、ダメならすぐ手を変える体制重要

End Of 「メールって盗聴されますか?」
| コメント(1)
■このblogの書き込み最新3件
グッドデザイン賞に出てたおしゃれなサイクロン掃除機がなんと半額以下。 SEOには、運用のSEOと設計のSEOの2つのフェーズがある。 ワーナー作品のオンデマンド配信サービス「ワーナーオンデマンド」
この記事への提案、提言一覧

カラメルで買い物したとき、登録したIDとパスワードが購入した店側にメールされます。パスワードはハッシュ化されておらずそのままの状態です。利用者側からすると、店側にパスワードが知られるのは気持ち悪いので改善してもらいたいです。

2009/07/04 07:49 名無しさん
この記事への提案、提言









あなたの情報を保存しますか?