アカウント名:
パスワード:
いちいちセキュリティーを啓蒙するよりも、予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、残念、そーゆー話じゃないのか…
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」
何も記録せず、何も発信しないシステムにしない限り、ユーザは過ちを犯す。そんな事も分からないやつが「セキュリティー専門家」を名乗っているとは…
> 一日中テレビの前に座ってマクドナルドのスーパーモンスターミールを食べるという目先の満足感を優先させてしまうのである。> つまり、コ
> いちいちセキュリティーを啓蒙するよりも、> 予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、> 残念、そーゆー話じゃないのか…
いや、そーゆー話です。そーゆーシステムを開発するように開発者側を教育しろって感じで。
の所は多分訳がおかしくて、
「ユーザにしょぼいパスワードを使うことを許さず、ユーザがどんなリンクをクリックしても 気にしない(大丈夫な?)ようなシステムを開発者はデザインす
確かにストーリーの要約が悪すぎるので原文を読んだほうがいいと思います。
そもそも、啓発(トレーニング)が全部ダメなんて言ってないですね。健康に関する啓発がうまく機能している例として、HIV感染予防が挙げられてます。うまくいっている理由は「気にしなかった場合のリスクがものすごく大きく、はっきりしている」「安全なセックスのために何を守ればいいかがはっきりしている」ということです。一方で、「手を洗う」という啓発ははるかに簡単なのに、うまくいっていない。手を洗わないことのリスクは小さいし、どんな悪いことが起こるかもはっきりしないからです。
車の運転の教習もうまく機能している例です。車の運転は難しいものですが、乗れることのメリットははっきりしています。また、一度安全の常識を覚えれば、車自体の技術が進歩しても同じやり方で運転できます。コンピューターセキュリティの常識が10年もすれば変わってしまうのと対照的です。
Schneierさんの主張は、「ユーザーに細々した対処法を教えるのではなく、基本的な操作方法を身につければ安全に使えるよう、開発者を啓発した方が良い」ということだと思います。 高木浩光さんがこちらの日記で [takagi-hiromitsu.jp]書かれている主張に近いと思いますね。ここで言う「ユーザーがルート証明書のフィンガープリントを確認せよ」というのが無駄なユーザー向けの啓発です。こういうことをせずに、「オレオレ証明書を使うな」と開発者を啓発し、その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい、ということだと思います。
「オレオレ証明書を使うな」と開発者を啓発し、
こっちは、もしかすれば、なんとかうまくいくかもしれないけど、
その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい
こっちはうまく行くかなあ。そもそも「オレオレ証明書」って物をユーザに理解させるのが困難だし。そんなことをやるくらいなら、(かなり面倒な操作をしない限り)問答無用で「オレオレ証明書」を拒否するブラウザを配布した方がいいんじゃない?
経験則で言えば、コンピューターに詳しくない人はダイアログの文章を読みません。すなわち、ボタンを押す理由を理解してません。「この画面になったらOK/キャンセル(あるいは右/左のボタン)を押す」ということしかしてないです。
よって、オレオレ証明書がどうのこうのなどという説明は無理です。
// 問題が発生したら、「ダイアログの文面を紙に書き写しておけ」と指示してます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:4, すばらしい洞察)
いちいちセキュリティーを啓蒙するよりも、
予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、
残念、そーゆー話じゃないのか…
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」
何も記録せず、何も発信しないシステムにしない限り、ユーザは過ちを犯す。
そんな事も分からないやつが「セキュリティー専門家」を名乗っているとは…
> 一日中テレビの前に座ってマクドナルドのスーパーモンスターミールを食べるという目先の満足感を優先させてしまうのである。
> つまり、コ
Re: (スコア:5, 参考になる)
> いちいちセキュリティーを啓蒙するよりも、
> 予めシステムの制約としてユーザの愚行を制限する方がいいに決まってるけど、
> 残念、そーゆー話じゃないのか…
いや、そーゆー話です。
そーゆーシステムを開発するように開発者側を教育しろって感じで。
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」
の所は多分訳がおかしくて、
「ユーザにしょぼいパスワードを使うことを許さず、ユーザがどんなリンクをクリックしても
気にしない(大丈夫な?)ようなシステムを開発者はデザインす
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:5, 参考になる)
確かにストーリーの要約が悪すぎるので原文を読んだほうがいいと思います。
そもそも、啓発(トレーニング)が全部ダメなんて言ってないですね。健康に関する啓発がうまく機能している例として、HIV感染予防が挙げられてます。うまくいっている理由は「気にしなかった場合のリスクがものすごく大きく、はっきりしている」「安全なセックスのために何を守ればいいかがはっきりしている」ということです。一方で、「手を洗う」という啓発ははるかに簡単なのに、うまくいっていない。手を洗わないことのリスクは小さいし、どんな悪いことが起こるかもはっきりしないからです。
車の運転の教習もうまく機能している例です。車の運転は難しいものですが、乗れることのメリットははっきりしています。また、一度安全の常識を覚えれば、車自体の技術が進歩しても同じやり方で運転できます。コンピューターセキュリティの常識が10年もすれば変わってしまうのと対照的です。
Schneierさんの主張は、「ユーザーに細々した対処法を教えるのではなく、基本的な操作方法を身につければ安全に使えるよう、開発者を啓発した方が良い」ということだと思います。
高木浩光さんがこちらの日記で [takagi-hiromitsu.jp]書かれている主張に近いと思いますね。ここで言う「ユーザーがルート証明書のフィンガープリントを確認せよ」というのが無駄なユーザー向けの啓発です。こういうことをせずに、「オレオレ証明書を使うな」と開発者を啓発し、その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい、ということだと思います。
Re:見出しだけ見て「そりゃそうよ」と言い掛けた (スコア:1)
「オレオレ証明書を使うな」と開発者を啓発し、
こっちは、もしかすれば、なんとかうまくいくかもしれないけど、
その上でユーザーには「オレオレ証明書の警告が出たら必ず『いいえ』を押しなさい」という常識だけを身につけてもらえばいい
こっちはうまく行くかなあ。そもそも「オレオレ証明書」って物をユーザに理解させるのが困難だし。
そんなことをやるくらいなら、(かなり面倒な操作をしない限り)問答無用で「オレオレ証明書」を拒否するブラウザを配布した方がいいんじゃない?
Re: (スコア:0)
経験則で言えば、コンピューターに詳しくない人はダイアログの文章を読みません。すなわち、ボタンを押す理由を理解してません。「この画面になったらOK/キャンセル(あるいは右/左のボタン)を押す」ということしかしてないです。
よって、オレオレ証明書がどうのこうのなどという説明は無理です。
// 問題が発生したら、「ダイアログの文面を紙に書き写しておけ」と指示してます。