アカウント名:
パスワード:
代替はもちろんGnuPGとかS/MIMEとかだけど使ってる?「Googleドライブがセキュアで最先端です!」「今ならLINEでしょ」みたいな戯言時折あるけど、プロプラでE2E暗号化もされてない(あるいはそれが不完全な)流出リスクが増えるだけの代物と、オープン規格で成立していて多数のOSSが存在してるソリューションの比較なんて明白そのもの。メール辞めてLINE使うくらいならPPAPのがマシ。PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ。その手間がクッソ面倒だから皆別メール送信とか言う無駄なことになってるわけだが。とにかくメールのE2E暗号化がクッソ面倒なのが良くない。携帯電話の赤外線通信に実装されてれば今頃みんな使ってたかも(機種変更時にトラブるのが見えてるが)。
一応言うと攻撃者の手間を増やすってだけで多少のセキュリティにはなる。例えば大量の流出メールから検索しようって時には普通は暗号化Zipは除外する。まぁでも基本無駄なのは間違いないが。
代替がLINEってどこの企業よ?クッソヤバいだろ
LINE for Businessってのがあるくらいだしどっかには存在するだろ。LINEは適当に入れただけで実際聞いたことはない。でもクラウドストレージを代替に使ってる会社なら割とあるでしょ実際。
for Businessだからって何が安全なのか
サーバーサイドで監査できるじゃん。
代替がLINEで知られるのは官公庁・地方自治体(企業よりもっとクッソヤバい)
日本には名刺交換という商習慣があるのだから、 PGP 公開鍵を合わせて交換すれば良いのにと思わなくもない。
>PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ
どんだけお花畑なこと言ってるか自覚してる?
じゃぁSMSで。
まあきちんとした代替手段なんて使ってるの見かけませんよねえ。普及してほしいんだけども。なんと言うか、真面目な批判者は経路上の安全性について語ってるけれど、大多数の実務者は別にそこまで求めていないと言うか。そこに、 PPAP って単語にされたのが面白くて「よくわからんがとにかく揶揄しとけ」みたいなガヤの空気も圧となりましたから、実際に手法を変えたところは多いですけれど、別に本来指摘されていた意味では大して安全になっていないものばかり。そもそも PPAP って単にヒューマンエラーでの誤送信被害を軽減するために手間かけさせてる程度の話だと思うので、その意味じゃ機能してるっちゃしてますし、単なるメール使ってる限り、変に他の自動化手法とか使うとリスクは上がってるとも言える。誤差程度でしょうが。
意味がないことを意味があると思い込むのが良くない。PPAPは非暗号化区間の機械的な傍受を緩和する程度の効果しかない。なりすましや誤送信への対策としては全くの無意味。普段から信頼できない相手とやり取りをするな。信頼できない相手には情報を流出させるおそれのない方法を使え。
エンドユーザーのレベルで使えるものありますか?標準的にメーラーが対応してくれればそれでもいいんですが複数人に見てもらう必要があったりで完全なE2Eだと面倒が増えたりするんですよね。それ用にソフトウェアインストールしろっていうとそれはそれで難色示されたりするし。
面倒でも必要だからE2Eでやれ、ってそれこそデジ庁あたりが号令かけるべきだと思わんでもない。
これまで「セキュリティ対策しなければならない」→「暗号化が必要(なのでPPAPさえしておけばOK!)」だったのが「PPAPはヤバいらしい」→「PPAPでさえなければ良い(なので平文OK! zip拡張子変更やrarでもOK!)」に変わってて、末端ユーザーの意識面では後退してる気配さえあるのが怖い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
代替 (スコア:0)
代替はもちろんGnuPGとかS/MIMEとかだけど使ってる?
「Googleドライブがセキュアで最先端です!」「今ならLINEでしょ」みたいな戯言時折あるけど、プロプラでE2E暗号化もされてない(あるいはそれが不完全な)流出リスクが増えるだけの代物と、オープン規格で成立していて多数のOSSが存在してるソリューションの比較なんて明白そのもの。
メール辞めてLINE使うくらいならPPAPのがマシ。
PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ。
その手間がクッソ面倒だから皆別メール送信とか言う無駄なことになってるわけだが。
とにかくメールのE2E暗号化がクッソ面倒なのが良くない。
携帯電話の赤外線通信に実装されてれば今頃みんな使ってたかも(機種変更時にトラブるのが見えてるが)。
一応言うと攻撃者の手間を増やすってだけで多少のセキュリティにはなる。
例えば大量の流出メールから検索しようって時には普通は暗号化Zipは除外する。
まぁでも基本無駄なのは間違いないが。
Re:代替 (スコア:1)
代替がLINEってどこの企業よ?クッソヤバいだろ
Re: (スコア:0)
LINE for Businessってのがあるくらいだしどっかには存在するだろ。
LINEは適当に入れただけで実際聞いたことはない。
でもクラウドストレージを代替に使ってる会社なら割とあるでしょ実際。
Re:代替 (スコア:1)
for Businessだからって何が安全なのか
Re: (スコア:0)
サーバーサイドで監査できるじゃん。
Re: (スコア:0)
代替がLINEで知られるのは官公庁・地方自治体(企業よりもっとクッソヤバい)
Re:代替 (スコア:1)
日本には名刺交換という商習慣があるのだから、 PGP 公開鍵を合わせて交換すれば良いのにと思わなくもない。
Re: (スコア:0)
>PPAPの問題は明白だけど、リアルでパスワード交換をするっていう改善だけすれば良いと思うよ
どんだけお花畑なこと言ってるか自覚してる?
Re: (スコア:0)
じゃぁSMSで。
Re: (スコア:0)
まあきちんとした代替手段なんて使ってるの見かけませんよねえ。普及してほしいんだけども。
なんと言うか、真面目な批判者は経路上の安全性について語ってるけれど、大多数の実務者は別にそこまで求めていないと言うか。
そこに、 PPAP って単語にされたのが面白くて「よくわからんがとにかく揶揄しとけ」みたいなガヤの空気も圧となりましたから、実際に手法を変えたところは多いですけれど、別に本来指摘されていた意味では大して安全になっていないものばかり。
そもそも PPAP って単にヒューマンエラーでの誤送信被害を軽減するために手間かけさせてる程度の話だと思うので、その意味じゃ機能してるっちゃしてますし、単なるメール使ってる限り、変に他の自動化手法とか使うとリスクは上がってるとも言える。誤差程度でしょうが。
Re: (スコア:0)
意味がないことを意味があると思い込むのが良くない。PPAPは非暗号化区間の機械的な傍受を緩和する程度の効果しかない。なりすましや誤送信への対策としては全くの無意味。普段から信頼できない相手とやり取りをするな。信頼できない相手には情報を流出させるおそれのない方法を使え。
Re: (スコア:0)
エンドユーザーのレベルで使えるものありますか?
標準的にメーラーが対応してくれればそれでもいいんですが
複数人に見てもらう必要があったりで完全なE2Eだと面倒が増えたりするんですよね。
それ用にソフトウェアインストールしろっていうとそれはそれで難色示されたりするし。
Re: (スコア:0)
面倒でも必要だからE2Eでやれ、ってそれこそデジ庁あたりが号令かけるべきだと思わんでもない。
これまで「セキュリティ対策しなければならない」→「暗号化が必要(なのでPPAPさえしておけばOK!)」だったのが
「PPAPはヤバいらしい」→「PPAPでさえなければ良い(なので平文OK! zip拡張子変更やrarでもOK!)」に変わってて、
末端ユーザーの意識面では後退してる気配さえあるのが怖い。