パスワードを忘れた? アカウント作成

セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道」記事へのコメント

  • よくパスワードをランダム主張するのが良いというセキュリティの専門家が居ますが、
    現実としては糞みたいなパスワードリマインダー等が蔓延っているので、パスワードだけ安全にしてもアカウントを守れるとは限りません。

    パスワードだけでなく、ID=メールアドレスもランダムにして、サービス毎に違うものにすべきです。
    私の場合、セブンペイだったら seven-pay-qihu1r4ratf4jahg@example.com のようにします。
    qihu1r4ratf4jahg の部分はサービス毎に別のランダムな英数字にします。
    example.com は独自ドメインで、有効なメールアドレス(@の左部)はコマンド1行で増やせ

    • by Anonymous Coward

      確かにその方が望ましいけれども、世の中のすべての人が気軽にメールアドレス増やせる環境なわけじゃない
      用意できる人なら「糞みたいなパスワードリマインダー等」の心配はまず不要だろうし、Google等のメールアカウントをサービス毎に用意するのはどうかと思う

      • by Anonymous Coward

        Gmailだとしたら、
        hoge@gmail.com のアドレスあったら、hoge+abcdefg@gmail.com や hoge+ifiaufuf@gmail.com のようなアドレスも自動で同じメールボックスに受信できますよ。
        フィルター機能でラベル分けすることもできます。
        なので、サービス毎にメールアドレスを分けるのも簡単にできます。

        • by Anonymous Coward on 2019年07月13日 3時21分 (#3651125)

          ただ + が入っていると不正なメールアドレスとする困ったサイトが一定存在するのが難点。

          • by Anonymous Coward on 2019年07月13日 4時01分 (#3651128)

            + は本来普通に使うができるはずなのに、弾く糞サイトがあるのは困ったものですね。
            Gmailのエイリアスが弾かれる不具合というのは、RFCを守らないでいい加減なバリデーションをやっていると、困ったことになるという良い例ですね。

            あと、半可通が "." (ドット) が2つ以上連続するメールアドレスはRFC違反だという出鱈目を広めてしまった(何故か信じている技術者が多い)せいで、わざわざドットの連続を正規表現で弾く糞サイトが最近増えてきているようです。どっかのライブラリがそうしているのかもしれませんが。

            正しくは、local-part を quoted-string (") で囲えば、" と \ を除く すべての記号 (印字可能 ASCII 記号)が利用できます。 さらに、quoted-string の中では quoted-pair が利用できると書かれているので、" と \ でさえも、直前に \ を配置すれば利用できます。

            つまり

            "\\.....!#$%&'*+-/=?^_`{|}~.....\""@example.com

            はRFC準拠の正しいメールアドレスです。これが弾かれるシステムは糞ですので、試してみると良いと思います。糞システムを検出するリトマス試験紙になります。

            [参考] 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を
            https://orgachem.hatenablog.com/entry/2013/11/26/015343 [hatenablog.com]

            • by Anonymous Coward

              > [参考] 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を
              > https://orgachem.hatenablog.com/entry/2013/11/26/015343 [hatenablog.com]

              この記事のコメントによるとSMTPに限定しているようだが、それなら参照するのはRFC 5321のほうがいいと思うの(間違っているまとめに言えという話かもしれんが)。FWSとかコメントとか考えなくてよくなるし。

              で、RFC 5321には
              > While the above definition for Local-part is relatively permissive,
              > for maximum interoperability, a host that expects to receive mail
              > SHOULD avoid defining

              • by Anonymous Coward

                むしろE-mailアドレスについては、アドレスの方が糞仕様,又は仕様バグだよねとしか。
                仕様を記述するのもバリデータを実装するのも苦労するような仕様にするなよと。

                あの時代にバリデーションの実装とか考えずに、即興で作ったものならまあそんなもんだろけど。
                JavaScriptが糞言語であるのと同じような物.

            • by Anonymous Coward

              態々試さないけど、メールアドレスの正確な仕様に沿っているシステムってどんだけあるんだろ。

              "\\.....!#$%&'*+-/=?^_`{|}~.....\""@example.com

              こんなんウチのシステムに受け入れていいのかって逆に思う。まともにメールをやりとりできる気がしない。

              # フレームワークのバリデーションをそのまま使ってる。それが正確かどうかなんてしらん。

              • by Anonymous Coward

                もはや昔話だけど、日本にはNTTドコモっていう、
                「仕様で認められないアドレスが選べて、スパムが来なくて便利」
                というのをウリにしていた恐ろしい大企業があったんだぞ。

                「正しいE-mailアドレス」に準拠することの無意味さを教えられました。
                #IE6の残した教訓:無理が通れば道理が引っ込む.

            • by Anonymous Coward

              逆に、皆がもうRFC5322の”でくくればなんでもありみたいな規定をやめるように考えてくれたらいいのに。

              RFCは完璧で絶対遵守ってものじゃないよ。他人を貶す道具にしたい人には便利なものかもしれないけどね。

              • by Anonymous Coward

                でも今更変えようとなると、折角だからUTF-8に対応させようとか、
                アプリケーション固有の拡張ができるようにメタ構造を作ろうとか、
                余計なこと言い出すやつが現れるに決まっている。
                そしてセキュリティの話になって、そもそも論が始まる。

            • by Anonymous Coward

              + をはじくのは糞システムだというのはわかるけど
              " をはじかないシステムに出会ったことがない

            • by Anonymous Coward

              「弾く糞サイト」というのは、どういう状況なのだろう?たとえばWebメールで宛先に入力すると拒否されるというのならそれは確かに問題だが、メールアカウントを新規作成するときにRFCよりも厳しい基準にすることはサービス提供者の自由だし、問題はないと思うが。

              • by Anonymous Coward

                問題ないから糞扱いなんだろ。
                直しようがないんだから。

          • by Anonymous Coward

            エイリアス使って無限にアカウント作られるのを防止する目的もありそう。

          • by Anonymous Coward

            gmailは「.」を無視するので、
            gmail特化でユーザ名を正規化してるのでない場合は
            どこに「.」を入れるかによって2^(文字数-1)個のアドレス使い分けができるかもです。

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...