アカウント名:
パスワード:
Googleへ問い合わせてサーバー側の情報を貰う、というのについては、サービス事業者であるGoogle側で出来てしまうことに違和感はない。 しかし、端末側のパスワードロックを解除する仕組みをGoogleが持っている(のなら)、それは問題があると思う。 それは例えていうと、業務上の機密データが格納されているWindows PCであっても、Microsoftであれば(見ようと思えば)自由に見えてしまう、ということと同じことではないのかと。 まして、その手口が漏洩して悪用されないとも限らない。
FBIには悪いが、自分で所持する端末の情報を第三者であれば見ることができるというのは、セキュリティ的に脆弱だと捉えるべきではないか?
# 分解してデータ吸出しまでされれば仕方ないと思えなくもないが、ソフトウェア的に出来てしまうなら、ちょっと目を離した隙に情報が盗まれる危険性があるということになる。 ## Androidはローカルにデータ保存しねーよ、全部クラウド上だ!ということだったらごめんなさい。
このとき一定回数間違えるとメールアドレスおよびパスワードによる解除が必要になるという。
このメールアドレスとパスワードは、gmailのアドレスとパスワード、もっとわかりやすくいえば、その端末に紐付けられているgoogleのアカウントとそのパスワードの事です。つまり端末の認証方法の初期化と解除をネットワーク経由での認証により行うという物です。
この手の事はおおよそのものに実装されていて、androidの場合、その一つがネットワーク経由での認証だった、というだけです。他にも、日本だと、ものによっては販売しているショップで解除することもできますし、リンクされてる記事には、製造元のサムスンに、そのためのコードの提供も要請しているようです。これまでのものでも同様の仕組みはありましたし、他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。そうでなければ怖くて使えませんよ。
他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。 そうでなければ怖くて使えませんよ。
自分の端末からロックされてしまったユーザーが自分でロックを解除する救済措置については必要ですが、 他人の端末からロックされてしまった第三者が勝手にロックを解除する救済措置については必要ない、 と思うのですがいかがでしょうか?
今回FBIが問い合わせているのは後者の手法ですよね? Google側が保持しているデータが、令状なり正規の手続きの上閲覧されるのは普通の行為だと思いますが、ユーザー側に存在するデータを第三者が見る手段が存在する、というのはセキュリティ的に良くないことだと考えるのですが。
携帯の世界ではこれまでにも同様の仕組みがあったとしても、PCの世界の感覚ではとても許されることではない [internet.com]と思うのですが、付いたレスを見る限りスマートフォンであればOKという感覚の方が多いのでしょうか?
PCでもパスワードリセット出来る事が多いですよ。HDDを暗号化するなどしてリセット出来ない様にすることは出来ますが、そこまでやることは少ないと思います。ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、強制執行ならクレジットカードの暗証番号のリセットだって可能だろうし、大家さんはあなたの部屋の鍵を開けるわけで、個人ユースでそこまでガチガチなのは求めないでしょう。それに、そう確実に個人を識別出来るハードがない以上、ハードによる救済措置は自分と他人を区別しませんし、人が介在するなら司法などにより簡単に覆ります。
そもそも、そこまで守りたいデータがあるなら、暗号化なりなんなりそれぞれが必要な対処をするんじゃないですかね?
ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、
物理的に奪われて手間隙かければ取り出せてしまう、というのはそれはそれで仕方ないとは思うんですよね。 そこまでいくともう物理的なセキュリティの話なので。
あくまでOSレイヤーのセキュリティの話として。 もし「OSの認証機構を迂回する仕組みが用意されており」「それをGoogleだけが知っている」とすれば、それはOSとして大きな問題点ではないでしょうか? (例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限
# http://ritardando.ddo.jp/~meno/index.php?e=44 [ritardando.ddo.jp]# EEPROMをはがして取り替えるという方法があるとか…
> (例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限の無いファイルを見れてしまうようなもの。)
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。
Android端末において警戒すべきは、カフェの机に置いたままちょっとトイレに・・・というようなシチュエーションなので、 入退室が管理されたサーバールームに置かれておりコンソールにアクセスできるのは特定の人だけ、という使い方が多いUnix系OSと同レベルのセキュリティでOKとはいえません。 # 世の中にはノートPCにUnix系OS入れて持ち歩く人も居るだろうけど。
「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
確かに、例えとしてはちょっと不適切でしたね。 「Googleだけが知っている」だと、もっとバックドア的なもののイメージです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
第三者が端末側のロックを解除できるのはいかがなものか (スコア:0)
Googleへ問い合わせてサーバー側の情報を貰う、というのについては、サービス事業者であるGoogle側で出来てしまうことに違和感はない。
しかし、端末側のパスワードロックを解除する仕組みをGoogleが持っている(のなら)、それは問題があると思う。
それは例えていうと、業務上の機密データが格納されているWindows PCであっても、Microsoftであれば(見ようと思えば)自由に見えてしまう、ということと同じことではないのかと。
まして、その手口が漏洩して悪用されないとも限らない。
FBIには悪いが、自分で所持する端末の情報を第三者であれば見ることができるというのは、セキュリティ的に脆弱だと捉えるべきではないか?
# 分解してデータ吸出しまでされれば仕方ないと思えなくもないが、ソフトウェア的に出来てしまうなら、ちょっと目を離した隙に情報が盗まれる危険性があるということになる。
## Androidはローカルにデータ保存しねーよ、全部クラウド上だ!ということだったらごめんなさい。
Re: (スコア:2, 参考になる)
このとき一定回数間違えるとメールアドレスおよびパスワードによる解除が必要になるという。
このメールアドレスとパスワードは、gmailのアドレスとパスワード、もっとわかりやすくいえば、その端末に紐付けられているgoogleのアカウントとそのパスワードの事です。
つまり端末の認証方法の初期化と解除をネットワーク経由での認証により行うという物です。
この手の事はおおよそのものに実装されていて、androidの場合、その一つがネットワーク経由での認証だった、というだけです。
他にも、日本だと、ものによっては販売しているショップで解除することもできますし、リンクされてる記事には、製造元のサムスンに、そのためのコードの提供も要請しているようです。
これまでのものでも同様の仕組みはありましたし、他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。
そうでなければ怖くて使えませんよ。
Re:第三者が端末側のロックを解除できるのはいかがなものか (スコア:0)
他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。
そうでなければ怖くて使えませんよ。
自分の端末からロックされてしまったユーザーが自分でロックを解除する救済措置については必要ですが、
他人の端末からロックされてしまった第三者が勝手にロックを解除する救済措置については必要ない、
と思うのですがいかがでしょうか?
今回FBIが問い合わせているのは後者の手法ですよね?
Google側が保持しているデータが、令状なり正規の手続きの上閲覧されるのは普通の行為だと思いますが、ユーザー側に存在するデータを第三者が見る手段が存在する、というのはセキュリティ的に良くないことだと考えるのですが。
携帯の世界ではこれまでにも同様の仕組みがあったとしても、PCの世界の感覚ではとても許されることではない [internet.com]と思うのですが、付いたレスを見る限りスマートフォンであればOKという感覚の方が多いのでしょうか?
Re: (スコア:0)
PCでもパスワードリセット出来る事が多いですよ。
HDDを暗号化するなどしてリセット出来ない様にすることは出来ますが、そこまでやることは少ないと思います。
ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、
強制執行ならクレジットカードの暗証番号のリセットだって可能だろうし、大家さんはあなたの部屋の鍵を開けるわけで、
個人ユースでそこまでガチガチなのは求めないでしょう。
それに、そう確実に個人を識別出来るハードがない以上、ハードによる救済措置は自分と他人を区別しませんし、
人が介在するなら司法などにより簡単に覆ります。
そもそも、そこまで守りたいデータがあるなら、暗号化なりなんなりそれぞれが必要な対処をするんじゃないですかね?
OSレイヤーのセキュリティの話として (スコア:0)
ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、
物理的に奪われて手間隙かければ取り出せてしまう、というのはそれはそれで仕方ないとは思うんですよね。
そこまでいくともう物理的なセキュリティの話なので。
あくまでOSレイヤーのセキュリティの話として。
もし「OSの認証機構を迂回する仕組みが用意されており」「それをGoogleだけが知っている」とすれば、それはOSとして大きな問題点ではないでしょうか?
(例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限
Re:OSレイヤーのセキュリティの話として (スコア:2)
# http://ritardando.ddo.jp/~meno/index.php?e=44 [ritardando.ddo.jp]
# EEPROMをはがして取り替えるという方法があるとか…
Re: (スコア:0)
> (例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限の無いファイルを見れてしまうようなもの。)
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。
「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
Re: (スコア:0)
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。
Android端末において警戒すべきは、カフェの机に置いたままちょっとトイレに・・・というようなシチュエーションなので、
入退室が管理されたサーバールームに置かれておりコンソールにアクセスできるのは特定の人だけ、という使い方が多いUnix系OSと同レベルのセキュリティでOKとはいえません。
# 世の中にはノートPCにUnix系OS入れて持ち歩く人も居るだろうけど。
「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
確かに、例えとしてはちょっと不適切でしたね。
「Googleだけが知っている」だと、もっとバックドア的なもののイメージです。