パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ユニクロのTwitter連動キャンペーンサイトで脆弱性騒ぎ発生」記事へのコメント

  • ごく簡単に言えば (スコア:3, すばらしい洞察)

    こういったきわめて危ないサイトで、他のサイトのパスワード要求するところには、絶対にパスワードを記入しないことだね。

    内部でなにされているかわからない。会社としていくら「大丈夫です」って言っても、中の人には会社の意に反して危ないことをする人が隠れていたりする可能性もある。

    実に簡単なことだが「パスワードは自分以外の他人には教えない」のが、原則ですからね。
    そうでなきゃ、パスワードの意味はない。

    だから、こういうUNIQLOのような「他のサイトのパスワードを要求するサイトを作る」こと自身、自粛する必要がある。これはシステムを仕事にする人間の最低限のマナーだと思うんだよね。

    使う方も、「他のサイトのパスワードを要求するサイト」なんて、使ってはいけない、とは言わないが、かなり気をつけて使う必要がある。少なくとも、パスワードが他人に漏れる可能性を考慮に入れて、使うのは大原則だと思う。Twitter+Facebookなんてのも、例外ではないよ。

    • by Anonymous Coward
      BlackBerryで他のドメインのメール読む機能があるんだけど、
      端末のMUAにパスワード入れるんじゃなくて、BlackBerryのセンターに
      ログインとパスワード渡して、センターがPOPサーバからとってきた
      メールを端末に対してプッシュするかたち。

      端末が定期的にPOPにアクセスすると電池がとかパケット代が
      とかいろいろあるんだろうけど、いくらなんでもそのデザインは
      ないだろうと思った。
      いくら平文で使うPOPのパスワードだからって、
      他人に教えるもんじゃないだろう、と。

      なんとなく思い出しただけですが。
      • by Anonymous Coward

        googleのアカウントをYouTubeアカウントにも紐付けできることを思い出した。
        今は同じ会社になったのは理解してるけど、本来全く異なる2サイトが認証情報を流用するのは気持ち悪いなと。
        実際に危険なのかどうかは調べてないけど。

        • by jobsa (39063) on 2010年05月29日 0時06分 (#1771232)
          そう言い出すと、Googleのほとんどのサービスがそうですよ。
          Writely -> Google Docs
          Jotspot -> Google Sites
          Urchin -> Google Analytics
          買収して、そのままのドメインを継続してる(Youtube)か、完全に取り込まれたかの違いだし、気にすることでもないと思う。
          まぁでも、その認証情報を共有してる人・企業が、買収のたびに増えてるってことか。

          おそらくは、認証部分は専用の部門がやって、あとはOAuthみたいに、認証済かどうかを各サービスが確認してるだけだろうから、
          実際には認証情報(パスワード)はわたってないだろうね。
          親コメント

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...