アカウント名:
パスワード:
ソーシャルハッキングの可能性を過小評価している見解だと思います。例えば自分のPCをちょっとだけ他人に貸すとか、一時的にトイレに立った隙にロックし忘れるとか、30秒程度の隙は起きうるわけで。その隙を利用して、PC所有者が過去に利用したサイトのパスワードを知ることができるのは危険としかいいようがない。
例えば会社の誰かに対して、なにか理由をつけて「ちょっとPC貸してくれない」って頼んだら、かなりの可能性で借りられるんじゃないでしょうか。その人がChromeを使っていたら、いとも簡単にその人の(仕事中に私用で使ったサイトの)アカウントのパスワードを盗めますね。
もしGoogleが強がりでなく本気で言っていて、この問題を修正しないのなら、今後はChromeは使うのためらうレベルのセキュリティ認識だと思います。とりあえず私は、自宅のPCはともかく、会社のPCでChromeを使うのはやめます。
しかし、Windows なら、exe 一発で、かなりのことができるんだから、パスワード盗む仕掛けを仕込むのは、ものの数秒。Mac も似たようなことはできるだろう。Chrome がどうあがこうが、敵にコンピューター触られたらおしまいだ。
だからその状態ではマルウェアのインストールが可能なので、すでに詰みなのだ、というのがGoogleの主張です。パスワードを盗むような人ならマルウェアのインストールだってするような人でしょう。マルウェアがインストールされたなら、ブラウザのアドインやキーロガー、バックドアなどでパスワードの収集や悪用が行われ得ます。それはkeychainがロックされていようが、暗記していようが変わりありません。
マルウェアを利用するためには、ブラウザを見るだけのソーシャルハッキングよりも遙かに高度な知識が必要とされます。世のネットゲームやソーシャルゲームなどで他人のアカウントにアクセスして事件になった子供たちは、マルウェア使っている訳じゃなく、相手との会話等で直接・間接的にIDやパスワードを知って不正アクセスを行っていました。
程度の差を無視して「危険性がある時点で詰みだから対策は必要ない」という理屈を展開するのであれば、ユーザーという最大の脆弱制が存在する時点で詰みなので、ノーガード戦法バンザイということになります。
ログイン状態のPCを他人に触られる状態で放置することがもう負け。それでも安心と思い込ませないように、導入しなかったってことでしょ。Googleの言い分のほうが正しいでしょ。
全か無かの極論が正しいという意見には全く賛同できませんね。
マルウェアを利用するためには、ブラウザを見るだけのソーシャルハッキングよりも遙かに高度な知識が必要とされます。
だから、これ、思い込みでしょ。マルウェアを開発するのには、ある程度の(さして高度でもない)知識が必要かもしれないけど、インストールするだけなら、配布サイトをググってダウンロードするだけなんじゃないの?
マルウェアをインストールしたら痕跡が残るが・・・痕跡を残さずに(履歴は削除すれば)簡単にパスワードを盗まれる機能を今後も残しておくって方針はいただけないかな。
何か最近のGoogleって、昔のマイクロソフトよりも悪の帝国に見えてきているのは気のせいだろうか?
たしかに、痕跡をゼロにするのは不可能かもしれないが、圧倒的大多数の人がそれに気付く可能性はほぼゼロなので、何の慰めにもならないと思う。
マルウェアがインストール可能だからといって、パスワードを盗もうとする人間全てがそれを行うとは限らない。例えば覗き見だけで盗めるならやるけど、マルウェアまですると色々やばそうだからやらないなんてのは結構いるだろう。
りその状態になればもっと悪いことができるので、それ以下の手段が可能でも気にする必要はない という主張は見当外れすぎる。例えば、本屋で店員が周囲に全くいなくて万引きが100%成功します。やりますか?という状態があり、だがその本屋の鍵を入手しました、セキュリティ関係も全てダウンさせて100%確実に侵入して盗むことが可能です。やりますか?とい
覗き見できる状態にしとくほうが問題マルウェアって言っても、ブラウザの拡張くらいならだれでも作れるし
管理者権限がなくともインストールできちゃうChromeの弊害ですね。Chromeをごにょごにょするだけなら管理者権限不要ってことですもの。
もうとっくにChromeアンインストールしました。Googleのアカウントは1つも持っていないし、Googleのサービスが全て無くなっても困らない程度に依存度を下げています。
Google Updateとか消したの?
不安なら単にパスワードを保存しなければいいんじゃないか。
大前提としてchromeのユーザ=googleサービスの利用者ってのがあるからブラウザにアクセスできる時点でメールからクレジットカードに連携したgoogle walletによるショッピングまでアクセスし放題なわけです。
もしその認識があなたにないのでしたら、確かにあなたはChromeを使うべきではありませんね。
多分こういうのはWindows8.1になってOS利用時には常時Microsoftにサインインするのが当たり前って時代になるともっと増えてくるだろうね。
もう一つ前提を書き忘れた。Chromeって常時googleにサインインしてるのが基本。
自分でサインインしなきゃしてないし、そもそもGoogleアカウントなんてなくても使えるから、その前提は意味がないね。
#Googleの希望、と言う意味での前提なら分かるけど。
ISMSとか取ってる会社なら、管理者の許可なしに同僚にPCを貸したり、スクリーンロックせずにトイレに行ったりすると、罰則対象になると思いますが。
恐らく会社のPCに入れたChromeにプライベートで使っているアカウントの情報を登録していたのだろうけれど、そもそもそれは不用心じゃない?この問題が修正されたとしても会社のPCのChromeに私用のパスワードを保存するのはやめた方がいいと思う。
パスワードを平文で確認できなくなったにしても、私用のパスワードを登録しているサイトのログイン画面にアクセスしたらIDとパスワードが勝手に入るわけで、仰っている「隙」を利用して、パスワードは盗めないにしても成りすましのログインはできてしまう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
これはいただけない (スコア:0)
ソーシャルハッキングの可能性を過小評価している見解だと思います。
例えば自分のPCをちょっとだけ他人に貸すとか、一時的にトイレに立った隙にロックし忘れるとか、30秒程度の隙は起きうるわけで。
その隙を利用して、PC所有者が過去に利用したサイトのパスワードを知ることができるのは危険としかいいようがない。
例えば会社の誰かに対して、なにか理由をつけて「ちょっとPC貸してくれない」って頼んだら、かなりの可能性で借りられるんじゃないでしょうか。
その人がChromeを使っていたら、いとも簡単にその人の(仕事中に私用で使ったサイトの)アカウントのパスワードを盗めますね。
もしGoogleが強がりでなく本気で言っていて、この問題を修正しないのなら、今後はChromeは使うのためらうレベルのセキュリティ認識だと思います。
とりあえず私は、自宅のPCはともかく、会社のPCでChromeを使うのはやめます。
Re:これはいただけない (スコア:2)
しかし、Windows なら、exe 一発で、かなりのことができるんだから、パスワード盗む仕掛けを仕込むのは、ものの数秒。Mac も似たようなことはできるだろう。Chrome がどうあがこうが、敵にコンピューター触られたらおしまいだ。
Re:これはいただけない (スコア:1)
だからその状態ではマルウェアのインストールが可能なので、すでに詰みなのだ、というのがGoogleの主張です。
パスワードを盗むような人ならマルウェアのインストールだってするような人でしょう。
マルウェアがインストールされたなら、ブラウザのアドインやキーロガー、バックドアなどでパスワードの収集や悪用が行われ得ます。
それはkeychainがロックされていようが、暗記していようが変わりありません。
Googleの詭弁 (スコア:1)
マルウェアを利用するためには、ブラウザを見るだけのソーシャルハッキングよりも遙かに高度な知識が必要とされます。
世のネットゲームやソーシャルゲームなどで他人のアカウントにアクセスして事件になった子供たちは、マルウェア使っている訳じゃなく、
相手との会話等で直接・間接的にIDやパスワードを知って不正アクセスを行っていました。
程度の差を無視して「危険性がある時点で詰みだから対策は必要ない」という理屈を展開するのであれば、
ユーザーという最大の脆弱制が存在する時点で詰みなので、ノーガード戦法バンザイということになります。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
ログイン状態のPCを他人に触られる状態で放置することがもう負け。
それでも安心と思い込ませないように、導入しなかったってことでしょ。
Googleの言い分のほうが正しいでしょ。
Re:Googleの詭弁 (スコア:1)
全か無かの極論が正しいという意見には全く賛同できませんね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
だから、これ、思い込みでしょ。マルウェアを開発するのには、ある程度の(さして高度でもない)知識が必要かもしれないけど、インストールするだけなら、配布サイトをググってダウンロードするだけなんじゃないの?
Re: (スコア:0)
マルウェアをインストールしたら痕跡が残るが・・・痕跡を残さずに(履歴は削除すれば)簡単にパスワードを盗まれる機能を今後も残しておくって方針はいただけないかな。
何か最近のGoogleって、昔のマイクロソフトよりも悪の帝国に見えてきているのは気のせいだろうか?
Re: (スコア:0)
たしかに、痕跡をゼロにするのは不可能かもしれないが、圧倒的大多数の人がそれに気付く可能性はほぼゼロなので、何の慰めにもならないと思う。
Re: (スコア:0)
マルウェアがインストール可能だからといって、パスワードを盗もうとする人間全てがそれを行うとは限らない。
例えば覗き見だけで盗めるならやるけど、マルウェアまですると色々やばそうだからやらないなんてのは結構いるだろう。
りその状態になればもっと悪いことができるので、それ以下の手段が可能でも気にする必要はない という主張は見当外れすぎる。
例えば、本屋で店員が周囲に全くいなくて万引きが100%成功します。やりますか?
という状態があり、だがその本屋の鍵を入手しました、セキュリティ関係も全てダウンさせて100%確実に侵入して盗むことが可能です。やりますか?
とい
Re: (スコア:0)
覗き見できる状態にしとくほうが問題
マルウェアって言っても、ブラウザの拡張くらいならだれでも作れるし
Re: (スコア:0)
管理者権限がなくともインストールできちゃうChromeの弊害ですね。
Chromeをごにょごにょするだけなら管理者権限不要ってことですもの。
Re:これはいただけない (スコア:1)
もうとっくにChromeアンインストールしました。Googleのアカウントは1つも持っていないし、Googleのサービスが全て無くなっても困らない程度に依存度を下げています。
Re: (スコア:0)
Google Updateとか消したの?
Re: (スコア:0)
不安なら単にパスワードを保存しなければいいんじゃないか。
Re: (スコア:0)
大前提としてchromeのユーザ=googleサービスの利用者ってのがあるから
ブラウザにアクセスできる時点でメールからクレジットカードに連携したgoogle walletによる
ショッピングまでアクセスし放題なわけです。
もしその認識があなたにないのでしたら、確かにあなたはChromeを使うべきでは
ありませんね。
多分こういうのはWindows8.1になってOS利用時には常時Microsoftにサインインするのが
当たり前って時代になるともっと増えてくるだろうね。
Re: (スコア:0)
もう一つ前提を書き忘れた。
Chromeって常時googleにサインインしてるのが基本。
Re: (スコア:0)
自分でサインインしなきゃしてないし、
そもそもGoogleアカウントなんてなくても使えるから、
その前提は意味がないね。
#Googleの希望、と言う意味での前提なら分かるけど。
Re: (スコア:0)
ISMSとか取ってる会社なら、管理者の許可なしに同僚にPCを貸したり、スクリーンロックせずにトイレに行ったりすると、罰則対象になると思いますが。
Re: (スコア:0)
恐らく会社のPCに入れたChromeにプライベートで使っているアカウントの情報を登録していたのだろうけれど、
そもそもそれは不用心じゃない?
この問題が修正されたとしても会社のPCのChromeに私用のパスワードを保存するのはやめた方がいいと思う。
パスワードを平文で確認できなくなったにしても、
私用のパスワードを登録しているサイトのログイン画面にアクセスしたらIDとパスワードが勝手に入るわけで、
仰っている「隙」を利用して、パスワードは盗めないにしても成りすましのログインはできてしまう。