アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
小島さんも見てるようだし、 (スコア:1, すばらしい洞察)
で、本題ですが、たとえば高木さんがポリシーに暗号化されてることが書かれているのに平文のパスワードが送られてくるのはおかしい、ってのは私には飛躍があると感じられる。現実にスニフされる可能性とどうでもいいパスワードを盗まれることの損失とを考えたらそれはほんとうにリスクといえるのか? そしてこのごくごく小さいリスクをOCNがどうすべきだったか、ほとんどのクロスサイトスクリプティングのように簡単に解決できればいいのですが、こちらは現実解がないわけです。もちろんセキュリティオタクはこうもできる、ああもできるって言うでしょうが。
同様のことはブラウザの鍵マークのことでもいえる。誰か書いてたようにフレーム化したことでOCNを責めるのは片手落ちでしょう。
OCNのようなサービスがもっと出てほしいし、その方がセキュリティ情報を浸透させるための方法論がみがかれると思っています。そのためには少々のあらをつつく完璧主義・原理主義よりは、情報の流し方、まとめ方のようなユーザビリティを向上させるような意見がより多くあってほしいです。技術に精通した人がなかなか把握できないほどセキュリティ情報は錯綜していますから。
ああ疲れた。
Re:小島さんも見てるようだし、 (スコア:1, すばらしい洞察)
OCNがリスクを小さく見ているなら、暗号化しなくてもよいからです。そういうセキュリティポリシーにすれば良いからです。WWWブラウザ経由では暗号化をしていてセキュリティポリシーに沿っていても、メールでは平文でパスワードが送られて来る。この両者の違いを記述しておけばよいわけです。そしてその理由も書いてくれれば、「メールではまずスニフされない」とか。
分けて考えた方がよいです。
・セキュリティポリシーを守っているのか
・セキュリティポリシー(採用している方法)は妥当か
セキュリティポリシーやプライバシーポリシーはサービスを利用する上で重要な部分です。この部分の整合性をとるのは重要なことです。整合が取れているかどうかを判断する能力を多くの人は持ち合わせていません。あらをつついているわけではないと思います。ユーザビリティの向上を求めているからこそサービス提供側に「ポリシーを守る努力を十分していますか?」と指摘しているのではないでしょうか。
錯綜していると言うよりは、乖離がありすぎる現状が問題だと思います。「責任分担はどこでされるのか」。これが成り立たない。あまりにも潜在的危険性が理解されていません。利便性向上と共に危険性も増加している現実はあります。
高木さんの書かれた内容を読むと、現状の問題点を十分過ぎるほど理解しているように私は感じます。「~すべきではないか」と書いてますよね。
勧誘で
1.絶対、値が上がります。
2.値が上がります。
3.値が上がるかもしれませんし、上がらないかもしれません。
4.値が上がる可能性があります。
バブル期には1を信じた人が多い。1の言葉による勧誘は問題があったらしい。なぜ「絶対」値が上がるのか。
利用者はセキュリティに関して完璧を求めるものだと思います。ここから変えるべきではないでしょうか。
根の深い問題だと思います。