アカウント名:
パスワード:
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワードこのあたりですかね。
#googleが悪いってのは、超大穴だと思う
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解し
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める
証明書を見る必要はありません。
ブラウザのURL欄を見て・「https://」で始まっているか・ドメイン部分(先頭から3つめの「/」の直前)は正しいかを確認するだけです。最近のブラウザは大抵どちらも確認しやすいように工夫して表示されるようになっています。
わざわざムダに証明書を開いて玄人振るのはやめましょう。
# スマートフォンではURLを確認しにくいってのは同意
おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...ありゃ玄人ぶってて無駄なんかいね?
無駄です。無駄です。無駄です。
ブラウザのURL欄で、URLだけを確認すればよいのです。URL欄はほとんどのブラウザでウィンドウ上部に常に表示されていますから、視線を上にちょっと動かすだけです。
初めてみるドメインであれば、証明書を見ることに意味があることもあるでしょうが、OAuthに関していえば「いつもと同じドメインか」だけを確認すればよいのです。
逆に疑問なんですが、証明書を眺めて、『何を』確認しているんですか?
敢えて書きますが、「誰でも簡単に確認できるようになっている」ことを、「わざわざ難しいことをしないといけない」ように吹聴するのは害悪ですらあると思っています。
↓貼っておきますねhttp://security.yahoo.co.jp/guide/3e.html#a3 [yahoo.co.jp]
証明書を眺めて、『何を』確認しているんですか?
言われてみれば、アドレスバー見れば済む程度しか確認していませんね。Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。
あんたの頭は「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけないんですか?難儀な頭でいろいろ考えてコメントしたんでしょうが、恥の上塗りをしているだけですよ。
AOuthがEV証明書だろうと全く関係ないでしょうが。一度はそのサイト(ドメイン)を信頼してアカウントを登録してるんだから。
繰り返しますが、あなたが玄人ぶって分かりもしない証明書を眺める行為は害悪でしかありません。誰も見てない部屋の隅でひとりでこっそりやる分にはあなた一人の時間の無駄遣いですみますが、不特定多数が閲覧する場所に書き込むなんてことは金輪際しないでいただきたい。少なからず真に受けてしまう人が発生するんですから。
何をそんなにヒートアップしてるんだ?素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。
まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。
素直に自分の間違いを認められませんか?
別にヒートアップしてるわけでも何でもなく、ご自身のいい加減な発言が、何処かの誰かを危険にさらすことになっているということを自覚していただきたいだけです。まぁ、他人のセキュリティを脅かすような嘘や、自分の間違いを認めようとしない技術者をみると頭にくるのは確かですが。
# だからちょっとこのストーリーの旬が過ぎてるにも関わらずコメントしてるんですよ。# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
「私が間違っていました」と書けば満足?別にあなたの満足に興味はないんだが。
聞いたことに答えた相手をバカ呼ばわりして「ヒートアップしているわけでも何でもなく」っておいおい、頭大丈夫か?少し冷静になって話を追ってみてくれ。そんなんじゃいくら正しいことを言ってても聞いてもらえないと思いますよ。(*1)
私は私のやり方が正しいと言い続けていない上、なるほどあなたの言う通りアドレスバーを確認すれば十分だねって意味で「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」と書いたのは明らかでしょう?
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
元の発言を改変できない以上、私が訂正するコメントを書くのと、あなたが訂正するコメントを書くのと、差はないでしょ。*1 ああそれをわかっていて、私に書いて欲しいの? 私はヒートアップしないけど、信用されるようなコメントを書いてもいないと思うなぁ
あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。私、技術者じゃないから。
勝手に役割を決めるなんて失礼ですわっ。
「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない頭は難儀な頭だとは思いませんか?そのことを「バカよばわり」と感じていらっしゃるのなら、謝罪いたします。私としては、「そんなはずないよね」っていう反意のつもりで書いたし、事実でないなら「バカよばわり」と感じることもないかと思いますが。
# 蛇足ですけど、件のコメントの元コメにあたるあなたのコメントの2行目以降は、# 上記のような難儀な頭と捉えられてもしょうがない間抜けな言い訳にしかみえませんよ。# 1行目だけで終わっとけば、無駄に突っ込まれることもなかったのに。# と、ここまで書いて気付いたが、# あなたが「答えた」ことの1行目のみをもってその後の話をしているのに対し、私は、2
つもり、ねぇ。私は訂正したつもりって言ったら、あなたはどう言うのだろう。
技術者ではないということで、いろいろと安心しました。
ふーん。誰だろうねぇ、間違ってたのは。
だから、「玄人ぶって」「素直に間違いを認めようとしない」という印象なわけです。
灯台もと暗し。これが随所に出ていると思う。がんばれ、名無しの腰抜けさん。
ここは文字だけでやり取りする掲示板ですから、単にあなたの「つもり」が伝わらなかったってことでしょう。私は誤解を与える表現をしたことに対して謝罪するといっています。それとも、もしかして本当に『「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない』頭なんですか?(いやそんなはずはない)
あなたがどんなつもりで書いたのだとしても、『Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。』←玄人ぶってる(しかも言ってることが変)『Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。』←素直に間違いを認めよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
原因は… (スコア:0)
特定個人を狙ったキーロガーなら、わざわざブチ撒けるのも勿体ないから、違うだろうなぁ。
PC買い換えで不用意に廃棄した・近しい人の犯行・他のサイトと同じパスワード
このあたりですかね。
#googleが悪いってのは、超大穴だと思う
原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:5, 参考になる)
池田氏はTwitter [twitter.com]で
Gmailのパスワードを他と共通にしていたのがよくなかった。特にツイッターは「連携アプリ」を認証するときパスワードを入れるので、そこで盗まれた可能性が高い。すでにパスワードは変えました。みなさんもご注意を。
等と言ってますねえ。(強調は引用者による)どうもこれが原因のようです。メルアドはTwitterのアカウントに@Gmail.comだったようですし。
連携アプリを認証するときパスワードを入れるわけねーだろと言うところですでにいろいろとアレですが、さらにパスワードを共通にしていたなど典型的な感じですね。
これについてツッコミを受けたのか
自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。
と発言していますが [twitter.com]、本当にOAuthを理解し
Re: (スコア:2)
本当にOAuthを理解しているならパスワード入れろと言ってきた時点ですでにおかしいと言うことに気付く
さらにこの「気付く」がおかしいということに気付くのが、本当に理解している人だと思うのですよ。
例えばTwitterでOAuthを通すならば、その前にTwitterそのものに認証されていないとなりません。そして、Twitterによる認証手段はユーザ名/パスワードです。
よってブラウザの利用状況次第で、(Twitterが)聞いてくることはザラにあります。
特にスマートフォンでは毎回聞かれる人も多いのでは。そんなときに、SSL証明書を眺める
Re: (スコア:0)
証明書を見る必要はありません。
ブラウザのURL欄を見て
・「https://」で始まっているか
・ドメイン部分(先頭から3つめの「/」の直前)は正しいか
を確認するだけです。
最近のブラウザは大抵どちらも確認しやすいように工夫して表示されるようになっています。
わざわざムダに証明書を開いて玄人振るのはやめましょう。
# スマートフォンではURLを確認しにくいってのは同意
Re: (スコア:1)
おっしゃる「最近のブラウザ」は証明書が見やすいようになっているわけだが...
ありゃ玄人ぶってて無駄なんかいね?
Re: (スコア:0)
無駄です。
無駄です。
無駄です。
ブラウザのURL欄で、URLだけを確認すればよいのです。
URL欄はほとんどのブラウザでウィンドウ上部に常に表示されていますから、視線を上にちょっと動かすだけです。
初めてみるドメインであれば、証明書を見ることに意味があることもあるでしょうが、
OAuthに関していえば「いつもと同じドメインか」だけを確認すればよいのです。
逆に疑問なんですが、
証明書を眺めて、『何を』確認しているんですか?
敢えて書きますが、
「誰でも簡単に確認できるようになっている」ことを、
「わざわざ難しいことをしないといけない」ように吹聴するのは害悪ですらあると思っています。
↓貼っておきますね
http://security.yahoo.co.jp/guide/3e.html#a3 [yahoo.co.jp]
Re: (スコア:1)
証明書を眺めて、『何を』確認しているんですか?
言われてみれば、アドレスバー見れば済む程度しか確認していませんね。
Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。
Re: (スコア:0)
あんたの頭は「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけないんですか?
難儀な頭でいろいろ考えてコメントしたんでしょうが、恥の上塗りをしているだけですよ。
AOuthがEV証明書だろうと全く関係ないでしょうが。
一度はそのサイト(ドメイン)を信頼してアカウントを登録してるんだから。
繰り返しますが、あなたが玄人ぶって分かりもしない証明書を眺める行為は害悪でしかありません。
誰も見てない部屋の隅でひとりでこっそりやる分にはあなた一人の時間の無駄遣いですみますが、
不特定多数が閲覧する場所に書き込むなんてことは金輪際しないでいただきたい。
少なからず真に受けてしまう人が発生するんですから。
Re: (スコア:1)
何をそんなにヒートアップしてるんだ?
素直に何を確認しているか、答えただけですよ。答えさせたくなければ聞かなきゃいいのに。
しかも「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」とまで言っているんだが。
まぁ一つわかったことは、アドレスバーしか見るなって奴らは頭に血が上りやすい可能性があるってことだ。
血が上った頭じゃフィッシングにもかかりやすい、クールダウンするために証明書眺めるのも一興ですな。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:0)
素直に自分の間違いを認められませんか?
別にヒートアップしてるわけでも何でもなく、
ご自身のいい加減な発言が、何処かの誰かを危険にさらすことになっているということを自覚していただきたいだけです。
まぁ、他人のセキュリティを脅かすような嘘や、自分の間違いを認めようとしない技術者をみると頭にくるのは確かですが。
# だからちょっとこのストーリーの旬が過ぎてるにも関わらずコメントしてるんですよ。
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
「私が間違っていました」と書けば満足?
別にあなたの満足に興味はないんだが。
聞いたことに答えた相手をバカ呼ばわりして「ヒートアップしているわけでも何でもなく」っておいおい、頭大丈夫か?
少し冷静になって話を追ってみてくれ。そんなんじゃいくら正しいことを言ってても聞いてもらえないと思いますよ。(*1)
私は私のやり方が正しいと言い続けていない上、なるほどあなたの言う通りアドレスバーを確認すれば十分だねって意味で「言われてみれば、アドレスバー見れば済む程度しか確認していませんね。」と書いたのは明らかでしょう?
# Googleとかでこのページを見つけた人があなたの書いた嘘を真に受けてしまったら不幸ですから。
元の発言を改変できない以上、私が訂正するコメントを書くのと、あなたが訂正するコメントを書くのと、差はないでしょ。
*1 ああそれをわかっていて、私に書いて欲しいの? 私はヒートアップしないけど、信用されるようなコメントを書いてもいないと思うなぁ
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
あーそうそう、ちょっと困るんですよね、嘘を書いてもらっては。
私、技術者じゃないから。
勝手に役割を決めるなんて失礼ですわっ。
Re: (スコア:0)
「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない頭は難儀な頭だとは思いませんか?
そのことを「バカよばわり」と感じていらっしゃるのなら、謝罪いたします。
私としては、「そんなはずないよね」っていう反意のつもりで書いたし、
事実でないなら「バカよばわり」と感じることもないかと思いますが。
# 蛇足ですけど、件のコメントの元コメにあたるあなたのコメントの2行目以降は、
# 上記のような難儀な頭と捉えられてもしょうがない間抜けな言い訳にしかみえませんよ。
# 1行目だけで終わっとけば、無駄に突っ込まれることもなかったのに。
# と、ここまで書いて気付いたが、
# あなたが「答えた」ことの1行目のみをもってその後の話をしているのに対し、私は、2
Re:原因は… Twitterでフィッシングに引っかかった→パスワード使い回し の模様 (スコア:1)
つもり、ねぇ。
私は訂正したつもりって言ったら、あなたはどう言うのだろう。
技術者ではないということで、いろいろと安心しました。
ふーん。誰だろうねぇ、間違ってたのは。
だから、「玄人ぶって」「素直に間違いを認めようとしない」という印象なわけです。
灯台もと暗し。これが随所に出ていると思う。
がんばれ、名無しの腰抜けさん。
Re: (スコア:0)
つもり、ねぇ。
私は訂正したつもりって言ったら、あなたはどう言うのだろう。
ここは文字だけでやり取りする掲示板ですから、単にあなたの「つもり」が伝わらなかったってことでしょう。
私は誤解を与える表現をしたことに対して謝罪するといっています。
それとも、もしかして本当に『「Twitter社のドメインはtwitter.comだ」ってことすら覚えておけない』頭なんですか?(いやそんなはずはない)
あなたがどんなつもりで書いたのだとしても、
『Twitterを含め、大所はEV SSLなので「ああ、間違いなくTwitterだね」って感じですか。』←玄人ぶってる(しかも言ってることが変)
『Firefoxだとここ最近はそこまでがAwesome Barに出てくるので、開くまでもないんですが。』←素直に間違いを認めよ