アカウント名:
パスワード:
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
もっともかな~
センセ曰く>私: 名前と生年月日と電話番号というのは公開情報ですよね?
そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。
というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより利便性を優先する方が良いと思う。それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、現状そんなに瑕疵があるとは思えないなあ。
##私もこの機能知らなかった。今後使おうと思うよ。
いやさ、本質論はわかるよ、普通、氏名、電話、生年月日からPASMOの履歴がわかってしまうということは誰も知らない。公開情報から予期せぬリスクを負ってしますと・・・
>名前と生年月日と電話番号というのは公開情報ですよね?という発想に違和感を覚えるわけ。例えば名前は公開情報なのか?ということ、個人的には違うと思うわけですよ。名前教えるにしても相手によって教えるかどうか考えませんか?教えるかどうか考える余地があるってだけでもすでに“公開”ではないわけで。
更に言ってしまえば、氏名・生年月日・電話番号をすべて教える場合、相応のリスクを担保できる相手だからこそ
> 発想に違和感を覚えるそこは多分意図的に危険な条件を想定して話してるのだと思います。セキュリティを考える時は悲観的な想定でないと意味が無いので、普段の思考方法から見れば違和感があるかもしれませんが、恐らくセキュリティ屋さんには普通の思考方法です。
そもそも、小数の意識低い人がカード番号と名前と生年月日と電話番号を公開しているだけで、問題視するには十分です。また、「電話帳or名刺その他の電話番号+SNSで友人が誕生祝いして誕生日バレ+実名制SNSで名前バレ+何らかの拍子にカード番号が写真にフレームイン」くらいは偶然の一致で公開されうる情報ですし、SNSで炎上した人の個人情報がネットに上がることもそこまで珍しくないことを考えれば十分アウトです。その上、今回は第三者企業がそれらの情報を収集してたので、被害の可能性は運の悪い少数どころではなくそのシステムに躊躇なく個人情報を入力した全員がアウトです。
被害者(第三者に公開情報として開示してしまった人)がまず間違いなく存在するのに「その被害者は多数派じゃないから黙殺します」なんて言えません。
報告の入れ方に関する批判は全く否定する気はないけど、思考法自体は(セキュリティ屋さん的には)普通です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
言ってることはもっともだが… (スコア:2)
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
Re: (スコア:2)
もっともかな~
センセ曰く
>私: 名前と生年月日と電話番号というのは公開情報ですよね?
そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・
使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。
というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより
利便性を優先する方が良いと思う。
それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、
現状そんなに瑕疵があるとは思えないなあ。
##私もこの機能知らなかった。今後使おうと思うよ。
Re: (スコア:1)
Re: (スコア:2)
いやさ、本質論はわかるよ、
普通、氏名、電話、生年月日からPASMOの履歴がわかってしまうということは誰も知らない。
公開情報から予期せぬリスクを負ってしますと・・・
>名前と生年月日と電話番号というのは公開情報ですよね?
という発想に違和感を覚えるわけ。例えば名前は公開情報なのか?ということ、
個人的には違うと思うわけですよ。名前教えるにしても相手によって
教えるかどうか考えませんか?教えるかどうか考える余地があるってだけでもすでに“公開”ではないわけで。
更に言ってしまえば、氏名・生年月日・電話番号をすべて教える場合、
相応のリスクを担保できる相手だからこそ
Re:言ってることはもっともだが… (スコア:1)
> 発想に違和感を覚える
そこは多分意図的に危険な条件を想定して話してるのだと思います。
セキュリティを考える時は悲観的な想定でないと意味が無いので、普段の思考方法から見れば違和感があるかもしれませんが、恐らくセキュリティ屋さんには普通の思考方法です。
そもそも、小数の意識低い人がカード番号と名前と生年月日と電話番号を公開しているだけで、問題視するには十分です。
また、「電話帳or名刺その他の電話番号+SNSで友人が誕生祝いして誕生日バレ+実名制SNSで名前バレ+何らかの拍子にカード番号が写真にフレームイン」くらいは偶然の一致で公開されうる情報ですし、SNSで炎上した人の個人情報がネットに上がることもそこまで珍しくないことを考えれば十分アウトです。
その上、今回は第三者企業がそれらの情報を収集してたので、被害の可能性は運の悪い少数どころではなくそのシステムに躊躇なく個人情報を入力した全員がアウトです。
被害者(第三者に公開情報として開示してしまった人)がまず間違いなく存在するのに「その被害者は多数派じゃないから黙殺します」なんて言えません。
報告の入れ方に関する批判は全く否定する気はないけど、思考法自体は(セキュリティ屋さん的には)普通です。