アカウント名:
パスワード:
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
もっともかな~
センセ曰く>私: 名前と生年月日と電話番号というのは公開情報ですよね?
そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。
というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより利便性を優先する方が良いと思う。それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、現状そんなに瑕疵があるとは思えないなあ。
##私もこの機能知らなかった。今後使おうと思うよ。
まぁ、私も高木先生がサービス停止に持って行こうとしているところは、あまり同意できないですけど、デフォルトで公開ってのは突っ込まれてしかるべきポイントかなとは思います。
使いたい人が使う分には問題ないですし便利なサービスですが、せめて申込書とかに「使いたい人はここにチェック」みたいな項目があって、デフォルトはOFF。とするべきだったんじゃないかなぁと思います。
その上で、よく分からないけどチェックを付けたって人に対しては、自己責任と言い張っても良いとは思いますが。
センセの日記を読んでる限りでは、このサービス自体はデフォルトOFFのようです。問題はONにするときに公知の情報だけで出来てしまうと言うところ。
日記から該当箇所を引用させてもらうと、
PASMOのカード番号(IDi)と、氏名、生年月日、電話番号(電話番号は不要の場合もある)さえあれば、アカウントを作成でき、そのアカウントでそのPASMOの乗車閲覧を閲覧できてしまう。
ということで、アカウント自体は作らないと出来ないんだけど、家族とかtimesとかストーカーあたりなら勝手にアカウント作れてしまうようなシステムで、アカウント作成時の本人確認の部分に問題があると言うことですね。
# pasmo側はこれらの情報は秘匿情報であり、公開した場合は本人の責任であると主張してるんですな。# そして「んなわきゃない」と言うのがセンセの突っ込み。
その上更に問題なのは、その作ったアカウントのログインパスワードを知らなくても
https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]
マイページ会員用ID・パスワードのいずれかをお忘れの場合は、会員登録画面から再度会員登録を行ってください。
と有るように、再登録だけで簡単に上書き取得できちゃうので、サービス停止してもらうしかプライバシーを守る手段が有りません。
だからセンセイもこんなサービスはさっさと止めろとしか言い様が無いでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
言ってることはもっともだが… (スコア:2)
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
Re: (スコア:2)
もっともかな~
センセ曰く
>私: 名前と生年月日と電話番号というのは公開情報ですよね?
そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・
使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。
というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより
利便性を優先する方が良いと思う。
それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、
現状そんなに瑕疵があるとは思えないなあ。
##私もこの機能知らなかった。今後使おうと思うよ。
Re: (スコア:1)
まぁ、私も高木先生がサービス停止に持って行こうとしているところは、あまり同意できないですけど、
デフォルトで公開ってのは突っ込まれてしかるべきポイントかなとは思います。
使いたい人が使う分には問題ないですし便利なサービスですが、せめて申込書とかに
「使いたい人はここにチェック」みたいな項目があって、デフォルトはOFF。とするべきだったんじゃないかなぁと思います。
その上で、よく分からないけどチェックを付けたって人に対しては、自己責任と言い張っても良いとは思いますが。
問題点を勘違いしてるかな。 (スコア:5, 参考になる)
センセの日記を読んでる限りでは、このサービス自体はデフォルトOFFのようです。
問題はONにするときに公知の情報だけで出来てしまうと言うところ。
日記から該当箇所を引用させてもらうと、
ということで、アカウント自体は作らないと出来ないんだけど、家族とかtimesとかストーカーあたりなら
勝手にアカウント作れてしまうようなシステムで、アカウント作成時の本人確認の部分に問題があると言うことですね。
# pasmo側はこれらの情報は秘匿情報であり、公開した場合は本人の責任であると主張してるんですな。
# そして「んなわきゃない」と言うのがセンセの突っ込み。
スルースキル:Lv2
Keep It Simple, Stupid!
Re:問題点を勘違いしてるかな。 (スコア:1)
その上更に問題なのは、その作ったアカウントのログインパスワードを知らなくても
https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]
と有るように、再登録だけで簡単に上書き取得できちゃうので、
サービス停止してもらうしかプライバシーを守る手段が有りません。
だからセンセイもこんなサービスはさっさと止めろとしか言い様が無いでしょう。