パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Yahoo! JAPANのアカウントがOpenIDとして利用可能に」記事へのコメント

  • by Anonymous Coward
    安全性は大丈夫なの?
    外部企業がIDとPWを持っているのってなにか不安があるなぁ
    • by Anonymous Coward
      今回の件の関連で、先日OpenIDについて調べてみたのだが、フィッシングの手口で簡単にYahoo!IDとパスワードが手に入りそうな気がしてならない。
      その辺はどのようにガードしているのだろうか。
      • Re:むしろ (スコア:5, 参考になる)

        by .mjt (13150) <mjtNO@SPAMcltn.org> on 2008年02月06日 22時42分 (#1292799) 日記
        >その辺はどのようにガードしているのだろうか。
        普通のフィッシング対策を取るのが前提です。
        Yahooだったらログインシールとか、通常のサイトのようにURLとSSLの状態を確認するとか。 [yahoo.co.jp]

        まぁ今は大衆向けのサービスが殆ど存在していないし普及もしていないので問題にはなってませんが、
        今後ユーザの多くがOpenIDを体験するようになってそれに慣れてしまうと、
        『当サイトはOpenID対応なのでYahoo IDでログインできます   だから下のフォームにYahoo IDとPasswordを入れてね』
        とか書いてあるサイトに引っかかる可能性は増えるでしょうね。
        今は常識的に考えてYahoo以外のサイトはYahooIDではログイン出来ないわけですが、
        その前提を崩すのがOpenIDなわけで。

        YahooのIDじゃないけど、例えばTwitterは、Webメールのアドレス帳の内容を読み出す目的(自称)で
        サインアップ時にgmail等のIDとPasswordを要求するんですが、そういうのが一般化すると色々不味いわけです。

        要はOpenIDに限らず信頼できるフォーム以外にパスワードを入れちゃいけないのは変わらない事実なので
        それを守る/守らせるように最大限の努力は必要だと思います。
        そういう点で、YahooのOpenID対応はもうちょっと説明を入れた方が良いような気がする。
        # 個人的にはブラウザへの統合も良いと思うけど。Verisign PIPのような。
        親コメント
        • by Gimite (23147) on 2008年02月06日 23時33分 (#1292833) ホームページ
          > 『当サイトはOpenID対応なのでYahoo IDでログインできます   だから下のフォームにYahoo IDとPasswordを入れてね』
          > とか書いてあるサイトに引っかかる可能性は増えるでしょうね。

          もう少し巧妙な手口 [fkoji.com]もあるようです。これだとOpenIDについて分かってる人でも、うっかり引っかかりそう…。
          親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...