アカウント名:
パスワード:
このサイトに直接関わったことはありませんが、たまたま今朝、エキサイトニュースで記事を読んだので、スラドのこの記事を見て、怪訝に思いました。
毎日新聞の記事によると、
>5月2日から、ホームページに「甚大なトラブルが発生した」と掲示され、>すべてのサービスが突然全面停止になった。>(中略)>運営会社「この指とまれ」の登記上の所在地の東京都中央区のビルは空室。>管理会社によると既に事務所を引き払ったといい、電話は不通。
と、まるで夜逃げでもしたかのような異常な事態に見えます。
タレコミ内の(事務局の発表、C0FFEEの日記)の先も合わせてみると、「株式会
小さな登録制の携帯サイトを個人的に運営していますが、ユーザのメールアドレス変更履歴やパスワード変更履歴を残しています。
ハナっから個人情報を金にしようと考えていたら、>退会を前提に、ユーザ自身であらかじめ登録情報を偽情報に書き換え>その後、退会手続きに移行するこれはたぶん効力がないと思います。
# ウチが保存してるのは運営上必要になることがあるためです。
>ユーザのメールアドレス変更履歴やパスワード変更履歴を残しています。メールアドレス変更履歴は、追跡性を考えると理解できるのですが、パスワードの変更履歴は、なぜ必要なのでしょうか?
履歴どころか、パスワードを保存しているサイトは利用したくないです。SHA1かMD5のようなハッシュで保存して欲しい。
同じパスワードを使いまわしている利用者は多そうなので、高く売れそうなのは解ります。しかし、法律を犯すつもりの相手にしか売れない。
# どちらかと言うと作る側なので個人運営だと妥協が必要なのも理解できます。
パスワードを生で保存しているのは、ユーザの利便性を上げる目的と、サポートの利便性を上げる目的の両方があります。
そもそも今回話題にしたウチのサイトでのパスワードってのは、しょっちゅうメールアドレスのサブジェクトに入れて送信するものなので、登録説明のページにも「パスが生で流れるので他のサービスのパスの流用はしないでくださいね」的な内容があります。
履歴を保存するのは、IDやパスワードを忘れた人には、登録アドレスを入力することでIDとランダムなパスを再発行する仕様にしているのですが、メールアドレスを変えてからIDを忘れて、ランダムパスの再発行しちゃって、でもメールアドレス変わってるから届かず、「メールアドレス変えました、ID忘れました、パスは****です」という問い合わせが多々あり、もうパスワードがランダムに変わっちゃってるから履歴を保存してないとこっちでもユーザ本人かどうか分からないのです。
で、生で保存してるならランダム生成せずに直接送ってやれよと思うかもしれませんが、Aさんがaというメールアドレスからbというメールアドレスに変更。Bさんがcというメールアドレスからaというメールアドレスに変更。てな事態が起こることがあるようで、たかだかユーザ数1万程度のウチでも「使ったことがないのに登録済みアドレスとなって登録できません」という問い合わせが希にあります。この状況でパス問い合わせで、他人のIDとパスの組み合わせが流れちゃったら具合が悪いので、ランダムを再発行する仕様にしています。説明にあるとおりに流用していなければ問題ないのですが、現実にはそうはいかないでしょうから、他のユーザに漏れるという事態は避けたいのです。管理者である私に見える分には、私が倫理観を持って管理をしていれば問題ないことなので。
そもそも、そんな個人運営の怪しいサービスに、自分にとってクリティカルなパスワードを流用するようなユーザは、結局いろんなところで漏れまくってるでしょうね。
他のコメントでパスワードリマインダで生のパスが出てきたらオイオイと思うとかいう意見がありますが、「生のパスが出てこない=暗号化されて保存している」ではないことにも気づいてない、こういう意識の方をなんとかせんといかんと思います。
サービス提供者側がどういう管理をしてるかなんて全く分からないんだから、自分のリスクは自分で管理。パスワードの使い回しなんてもってのほか。パスワードが流出しても大して痛くないような状況をユーザ側で作るべきです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
まずこんな公式発表で納得出来るのだろうか? (スコア:5, すばらしい洞察)
このサイトに直接関わったことはありませんが、たまたま今朝、エキサイトニュースで記事を読んだので、
スラドのこの記事を見て、怪訝に思いました。
毎日新聞の記事によると、
>5月2日から、ホームページに「甚大なトラブルが発生した」と掲示され、
>すべてのサービスが突然全面停止になった。
>(中略)
>運営会社「この指とまれ」の登記上の所在地の東京都中央区のビルは空室。
>管理会社によると既に事務所を引き払ったといい、電話は不通。
と、まるで夜逃げでもしたかのような異常な事態に見えます。
タレコミ内の(事務局の発表、C0FFEEの日記)の先も合わせてみると、
「株式会
ψアレゲな事を真面目にやることこそアレゲだと思う。
ゆーざもや○ざかも知れない (スコア:0)
> はたして、
> ユーザーは、こんな状況でもこんな公式発表で安心出来るのでしょうか?(純粋に疑問)
そもそも、よっぽど鈍感なユーザ以外は、
過去のトラブルの時に逃げ出しているんじゃないでしょうか?
現時点で残ってるのは「こんな公式発表で安心出来る」どころか、
会社が夜逃げしても不安に思わない肝っ玉の持ち主では?
> 「ゆびとま再建委員会」とやらは、こんな状況でこんな発表で、
> ユーザーを安心させられると本気で思っているのでしょうか?
> (いや、思ってないでしょうけどw)
いっその事ユーザのデータは全て削除した上で、
再度登録を求めた方が安心させられると思いますけどね。
削除前に再登録のお願いを出さなきゃいけないので、
まずその前の段階で信用を得なければならず、
組織の構築から見せるべきなんじゃないかと思いますが、
Re: (スコア:1, すばらしい洞察)
> 過去のトラブルの時に逃げ出しているんじゃないでしょうか?
> 現時点で残ってるのは「こんな公式発表で安心出来る」どころか、
> 会社が夜逃げしても不安に思わない肝っ玉の持ち主では?
そもそも、どうやって逃げだせばいいんですか?
暴力団関係者が経営者に加わっていた時点で、登録した個人情報の保全は
絶望的なのが判明したわけで、もはや泣き寝入りするしかないでしょう。
たとえば楽天で買い物をしたとして、実は個人情報を加盟店に流していた
ということがわかったとして、顧客はどう逃げればよい?
「安心することはないが、どうしようもない」
という人がほとんどじゃないですか?
たとえば (スコア:0)
その後、退会手続きに移行するとか。
Re: (スコア:2)
小さな登録制の携帯サイトを個人的に運営していますが、
ユーザのメールアドレス変更履歴やパスワード変更履歴を残しています。
ハナっから個人情報を金にしようと考えていたら、
>退会を前提に、ユーザ自身であらかじめ登録情報を偽情報に書き換え
>その後、退会手続きに移行する
これはたぶん効力がないと思います。
# ウチが保存してるのは運営上必要になることがあるためです。
Re: (スコア:2, すばらしい洞察)
>ユーザのメールアドレス変更履歴やパスワード変更履歴を残しています。
メールアドレス変更履歴は、追跡性を考えると理解できるのですが、
パスワードの変更履歴は、なぜ必要なのでしょうか?
履歴どころか、パスワードを保存しているサイトは利用したくないです。
SHA1かMD5のようなハッシュで保存して欲しい。
同じパスワードを使いまわしている利用者は多そうなので、高く売れそうなの
は解ります。しかし、法律を犯すつもりの相手にしか売れない。
# どちらかと言うと作る側なので個人運営だと妥協が必要なのも理解できます。
Re:たとえば (スコア:2)
パスワードを生で保存しているのは、ユーザの利便性を上げる目的と、サポートの利便性を上げる目的の両方があります。
そもそも今回話題にしたウチのサイトでのパスワードってのは、しょっちゅうメールアドレスのサブジェクトに入れて送信するものなので、
登録説明のページにも
「パスが生で流れるので他のサービスのパスの流用はしないでくださいね」
的な内容があります。
履歴を保存するのは、
IDやパスワードを忘れた人には、登録アドレスを入力することでIDとランダムなパスを再発行する仕様にしているのですが、
メールアドレスを変えてからIDを忘れて、ランダムパスの再発行しちゃって、でもメールアドレス変わってるから届かず、
「メールアドレス変えました、ID忘れました、パスは****です」
という問い合わせが多々あり、もうパスワードがランダムに変わっちゃってるから履歴を保存してないとこっちでもユーザ本人かどうか分からないのです。
で、生で保存してるならランダム生成せずに直接送ってやれよと思うかもしれませんが、
Aさんがaというメールアドレスからbというメールアドレスに変更。
Bさんがcというメールアドレスからaというメールアドレスに変更。
てな事態が起こることがあるようで、たかだかユーザ数1万程度のウチでも
「使ったことがないのに登録済みアドレスとなって登録できません」
という問い合わせが希にあります。
この状況でパス問い合わせで、他人のIDとパスの組み合わせが流れちゃったら具合が悪いので、ランダムを再発行する仕様にしています。
説明にあるとおりに流用していなければ問題ないのですが、現実にはそうはいかないでしょうから、他のユーザに漏れるという事態は避けたいのです。
管理者である私に見える分には、私が倫理観を持って管理をしていれば問題ないことなので。
そもそも、そんな個人運営の怪しいサービスに、自分にとってクリティカルなパスワードを流用するようなユーザは、
結局いろんなところで漏れまくってるでしょうね。
他のコメントでパスワードリマインダで生のパスが出てきたらオイオイと思うとかいう意見がありますが、
「生のパスが出てこない=暗号化されて保存している」
ではないことにも気づいてない、こういう意識の方をなんとかせんといかんと思います。
サービス提供者側がどういう管理をしてるかなんて全く分からないんだから、
自分のリスクは自分で管理。パスワードの使い回しなんてもってのほか。
パスワードが流出しても大して痛くないような状況をユーザ側で作るべきです。