アカウント名:
パスワード:
Web上のサービスをみんな信頼しすぎだと思う。
・翻訳・セキュリティ診断・HTML/XML/JSON解析・パスワード生成
↑俺とかもこの辺のサービス使うけど、こいつらが内容を保存して、悪用しようと思ってないという保証なんてどこにもない、ってことは念頭においてるよ。テストデータならともかく、ガチなユーザーデータとか入れたらアカン。Google翻訳とか、大手のものならまだまさか悪用してないだろうとか言えるけど、個人サイトなんて全く信用できんよ。
# メール機能チェックしてる人に「test.com にメール送るな!それは第三者が持ってる実在のアドレスだ!」って注意した覚えもある。
Excel を使っていると誤爆しやすいショートカットでセルの値でオンラインヘルプを検索しに行くのにオイオイって思ったのでオンライン検索も追加で。どこの誰にセルにに入力された値で検索する需要がるのか全く想像ができない。
Google翻訳なんて、JavaScriptで、入力した先からどんどん文字を送信してしまいますからねぇ。機密のメールをペーストした時点でアウトです。最終的に何に使われているかなんて、だれもわかりません。
その点、翻訳ボタンを押すまで送信しないページは、まだ良心的なほう。(^_^;ペーストしてから、固有名詞を消すだけの余裕をもわえますから。
この機能のせいか、フォームへの入力が突然滅茶苦茶遅くなることがありませんか?スクリプトは切っていても起きるのが不思議なんですけど。
今回の騒ぎのためか、「翻訳」ボタンが付けられたり「リアルタイム翻訳を無効にする」というリンクが設置されていますね。
ここに書き込んだ時点で、流出?ACでも素性が流出してる、という事?
/.Jに例えるなら、「会社の機密情報とかをプレビューしただけ」でも流出している可能性があるってことですよ。掲示板への書き込みじゃないから大丈夫…とか思ってると、実は悪意のある人が運用してるサービスで、入力されたデータを片っ端から保存して、裏で何か金になるものがないか調べてる可能性だってあるということ。
例えば、
セキュリティ診断なら 「問題ありませんでした、と表示して脆弱なサイトとしてリストアップ」HTML解析とかなら 「未公開や開発中の機密データを保存」、パスワード生成サービスなら 「パスワードを生成すると同時に攻撃用のパスワード辞書に登録」
その気になれば、いろいろと悪用のしようはあります。
パスワードジェネレータを使うときは・オフラインモードにする(オフラインで使えないのはあまりにも論外)・パスワードを生成する・生成したパスワードをローカルにコピーする・ページを閉じる・オフラインモードを解除するくらいのことはやってる。# それよりローカルにコピーしてソースを読んでから使ったほうがいいけど
そこまでして外部のパスワードジェネレータを使う意味がわからん。
意図しない通信を防ぐと言う意味では自前でビルドしてないローカルのネイティブコードよりはオフラインモードで使うブラウザ上のコードの方が信頼出来るんじゃないか?
自前でビルドしたローカルのパスワードジェネレータを使えばいい。
$ man pwgen
# っていう話では無くて?
>生成したパスワードをローカルにコピーするそれを元に切り貼りしてから使用する。
abc123defg456hijk789lmnop*-$みたいなのがあれば、
ha69lminop*-$jk783dbc12efg45を最終パスワード(候補)にするとか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
翻訳サービスとか変換サービスとか (スコア:1)
Web上のサービスをみんな信頼しすぎだと思う。
・翻訳
・セキュリティ診断
・HTML/XML/JSON解析
・パスワード生成
↑俺とかもこの辺のサービス使うけど、こいつらが内容を保存して、悪用しようと思ってないという保証なんてどこにもない、ってことは念頭においてるよ。
テストデータならともかく、ガチなユーザーデータとか入れたらアカン。
Google翻訳とか、大手のものならまだまさか悪用してないだろうとか言えるけど、個人サイトなんて全く信用できんよ。
# メール機能チェックしてる人に「test.com にメール送るな!それは第三者が持ってる実在のアドレスだ!」って注意した覚えもある。
Re:翻訳サービスとか変換サービスとか (スコア:4, 興味深い)
Excel を使っていると誤爆しやすいショートカットでセルの値でオンラインヘルプを検索しに行くのにオイオイって思ったのでオンライン検索も追加で。
どこの誰にセルにに入力された値で検索する需要がるのか全く想像ができない。
Re:翻訳サービスとか変換サービスとか (スコア:3, 参考になる)
Google翻訳なんて、JavaScriptで、入力した先からどんどん文字を送信してしまいますからねぇ。
機密のメールをペーストした時点でアウトです。
最終的に何に使われているかなんて、だれもわかりません。
その点、翻訳ボタンを押すまで送信しないページは、まだ良心的なほう。(^_^;
ペーストしてから、固有名詞を消すだけの余裕をもわえますから。
Re: (スコア:0)
この機能のせいか、フォームへの入力が突然滅茶苦茶遅くなることがありませんか?スクリプトは切っていても起きるのが不思議なんですけど。
Re: (スコア:0)
今回の騒ぎのためか、「翻訳」ボタンが付けられたり
「リアルタイム翻訳を無効にする」というリンクが設置されていますね。
Re:翻訳サービスとか変換サービスとか (スコア:1)
ここに書き込んだ時点で、流出?
ACでも素性が流出してる、という事?
Re: (スコア:0)
/.Jに例えるなら、「会社の機密情報とかをプレビューしただけ」でも流出している可能性があるってことですよ。
掲示板への書き込みじゃないから大丈夫…とか思ってると、実は悪意のある人が運用してるサービスで、入力されたデータを片っ端から保存して、裏で何か金になるものがないか調べてる可能性だってあるということ。
例えば、
セキュリティ診断なら 「問題ありませんでした、と表示して脆弱なサイトとしてリストアップ」
HTML解析とかなら 「未公開や開発中の機密データを保存」、
パスワード生成サービスなら 「パスワードを生成すると同時に攻撃用のパスワード辞書に登録」
その気になれば、いろいろと悪用のしようはあります。
Re: (スコア:0)
ACでもログインしてれば内部的に誰なのかは区別されてるよ。
Re: (スコア:0)
パスワードジェネレータを使うときは
・オフラインモードにする(オフラインで使えないのはあまりにも論外)
・パスワードを生成する
・生成したパスワードをローカルにコピーする
・ページを閉じる
・オフラインモードを解除する
くらいのことはやってる。
# それよりローカルにコピーしてソースを読んでから使ったほうがいいけど
Re:翻訳サービスとか変換サービスとか (スコア:2)
そこまでして外部のパスワードジェネレータを使う意味がわからん。
Re: (スコア:0)
意図しない通信を防ぐと言う意味では
自前でビルドしてないローカルのネイティブコードよりは
オフラインモードで使うブラウザ上のコードの方が
信頼出来るんじゃないか?
Re:翻訳サービスとか変換サービスとか (スコア:2)
自前でビルドしたローカルのパスワードジェネレータを使えばいい。
Re: (スコア:0)
$ man pwgen
# っていう話では無くて?
Re: (スコア:0)
>生成したパスワードをローカルにコピーする
それを元に切り貼りしてから使用する。
abc123defg456
hijk789lmnop*-$
みたいなのがあれば、
ha69lminop*-$jk783dbc12efg45
を最終パスワード(候補)にするとか。