アカウント名:
パスワード:
>楽天は同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。
商品購入でトラブって問い合わせても「店舗と直接話してください」とか言わない楽天らしい対応で安心。
そっくりそのまま返してやりたいメッセージですな。楽天が本当に調査して漏洩の形跡なしってんなら、どこからなんだろうねぇ。そもそも、まともなパスワードだったのだろうか...
今の楽天のシステムがどうかわかりませんが。私がうっすら覚えている限りですと。認証まわりって、フロント各サービスと完全に分離された専用サーバーで行われていて、フロントサービスとしては、アクセストークンとサービストークンを利用して、専用部署から提供されるライブラリ経由で必要最低限の情報を取得しているんですよね。
完全分離型のクレジットカード決済を想像して欲しいのですが。決済会社が提供する画面が開かれて、そこにクレジットカード情報を入力する。販売側がカード情報を一切受け取らない。この仕組みに近いものがあります。 他にもキャリアd社とかも似たような処理ですね。
企業がこういうアナウンスする時の「どこまで調査してのことか」というのは、「調査内容が適切か」じゃなくて「そもそも本当に調査した?(大丈夫だろハハーンとかしていない?)」という感じがしますが。 そいつぁ、まったくわかりませんなw特に楽天みたいな超絶縦割社会だと。そこで何しているのかは、当事者以外まったくわからないです故。
# 内容が少し危ないのでA.C.
そういう話って、ここに書いても貴方は訴えられないのですか?
前も似たような事言われた気がしなくもありませんが。少なくともピンピンしていますね。
画面遷移(フロント繊維)から判断できる範囲でもありますし。他社他業種でも使われている一般的な方式の話ですから問題ないでしょう。(一応。考えた上で書いてます)
強いて訴えられる可能性があれば「超絶縦割社会」と言う部分が名誉毀損か侮辱として扱われるぐらいですかね。
仕組みとしては画期的ではないし割と一般的です。また具体的に詳細処理フローを出しているわけではないので問題ない。
そこらへんが繋がってだだ漏れの方が怖いわ
本当に調査した結果かどうかは置いといて、存在しないアカウントへのログインの率が高ければ外部、低ければ内部とおおざっぱには判断できると思うけど。先のOpenSSLの件で大量に漏らしたところがないとも言い切れないでしょ。
メールアドレスをアカウントに使うシステムでは、もはや避けられなくなってきてると思うなぁ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
言うだけタダ (スコア:2, おもしろおかしい)
>楽天は同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。
商品購入でトラブって問い合わせても「店舗と直接話してください」とか言わない楽天らしい対応で安心。
Re:言うだけタダ (スコア:1)
そっくりそのまま返してやりたいメッセージですな。
楽天が本当に調査して漏洩の形跡なしってんなら、どこからなんだろうねぇ。そもそも、まともなパスワードだったのだろうか...
Re:言うだけタダ (スコア:4, 参考になる)
今の楽天のシステムがどうかわかりませんが。私がうっすら覚えている限りですと。
認証まわりって、フロント各サービスと完全に分離された専用サーバーで行われていて、
フロントサービスとしては、アクセストークンとサービストークンを利用して、
専用部署から提供されるライブラリ経由で必要最低限の情報を取得しているんですよね。
完全分離型のクレジットカード決済を想像して欲しいのですが。
決済会社が提供する画面が開かれて、そこにクレジットカード情報を入力する。
販売側がカード情報を一切受け取らない。
この仕組みに近いものがあります。 他にもキャリアd社とかも似たような処理ですね。
企業がこういうアナウンスする時の「どこまで調査してのことか」というのは、
「調査内容が適切か」じゃなくて「そもそも本当に調査した?(大丈夫だろハハーンとかしていない?)」
という感じがしますが。 そいつぁ、まったくわかりませんなw
特に楽天みたいな超絶縦割社会だと。そこで何しているのかは、当事者以外まったくわからないです故。
# 内容が少し危ないのでA.C.
Re: (スコア:0)
そういう話って、ここに書いても貴方は訴えられないのですか?
Re:言うだけタダ (スコア:1)
前も似たような事言われた気がしなくもありませんが。
少なくともピンピンしていますね。
画面遷移(フロント繊維)から判断できる範囲でもありますし。
他社他業種でも使われている一般的な方式の話ですから問題ないでしょう。
(一応。考えた上で書いてます)
強いて訴えられる可能性があれば「超絶縦割社会」と言う部分が
名誉毀損か侮辱として扱われるぐらいですかね。
Re: (スコア:0)
仕組みとしては画期的ではないし割と一般的です。
また具体的に詳細処理フローを出しているわけでは
ないので問題ない。
Re: (スコア:0)
そこらへんが繋がってだだ漏れの方が怖いわ
Re:言うだけタダ (スコア:3, 参考になる)
本当に調査した結果かどうかは置いといて、存在しないアカウントへのログインの率が高ければ外部、低ければ内部とおおざっぱには判断できると思うけど。
先のOpenSSLの件で大量に漏らしたところがないとも言い切れないでしょ。
メールアドレスをアカウントに使うシステムでは、もはや避けられなくなってきてると思うなぁ。