アカウント名:
パスワード:
「不正使用検知アルゴリズム」なんてのを条件に入れて言い訳してるようにしか見えません。どうせそのブラックボックスのザル処理でなんでも問題なしってことにする腹づもりでしょ?
LINEが「電話番号」を勝手な取り決めで扱うことも問題ですが、それでも真面目にやるつもりがあるならLINE電話での発信時の条件として(例として)
・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、 3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
ような仕組みにすべきです。そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。そんなブラックボックス、あるほうが害ですよね。
本来の電話番号を表示するってのがそもそもの問題ですよね。他のVOIPみたいにちゃんと050の番号取ってそれを通知するようにすればいいだけなのに。
> そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
アプリを乗っ取るアプリも想定しているのでは?
他人のスマホで正当に認証されたSIM(UIM)とLINEアカウントで割り込んじゃうとか。SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな通信区間に割り込むこと考えたら楽勝な部類だよねとか。
> SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな> 通信区間に割り込むこと考えたら楽勝な部類だよねとか。
その区間は暗号化でもしときゃいいわけで。
仮にそこを暗号化していないっていう実装で乗っ取りの脅威への対抗っていうのは、そもそも「電話番号の通知において不正利用されるのを防ぐため」よりもずっとショボイ次元の話ですよ。今回の不正利用を防ぐ対策の一つに挙げられるものじゃないです。
たとえば、今回の「電話番号の通知においての不正利用の抑止」としてLINEが挙げる要素に「開発者を信用できる人にします」とか書かれても「んなもんそもそもやっとけよ!!」でしかないでしょ。
> ・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している>> ・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する>> ・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、> 3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
この程度は流石に最初から導入してただろ・・・してたよね?
してないよ。SIM抜いても番号通知で発信できるし認証コードをソーシャルハックなどで分かれば他人の番号で発信できる。
さすがOINK、便利でいいアプリだ。
驚くなよ、実は・・・
電話番号を使ったシグナリング(Whatsapp、Telegramなど)なんかでも反対にここまでやっているようなものの方が少ないですね。
SMS認証以上のことをしている実装の方が反対に少ないので、LINEだけ叩くのもかわいそうな感じがする。
出てすぐぐらいに一応iPodTouchに入れたんで、ガラケーにSMS送ったはずなんですが、その記憶が一切ありません……今はLINEアプリ関係のスパムがバンバン着てます。
消しても良いだろって話なんですが……万一入れなおすとなると面倒かなと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
言い訳だけの意味なし対策になりそう (スコア:2, すばらしい洞察)
「不正使用検知アルゴリズム」なんてのを条件に入れて言い訳してるようにしか見えません。
どうせそのブラックボックスのザル処理でなんでも問題なしってことにする腹づもりでしょ?
LINEが「電話番号」を勝手な取り決めで扱うことも問題ですが、
それでも真面目にやるつもりがあるなら
LINE電話での発信時の条件として
(例として)
・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、
3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
ような仕組みにすべきです。
そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
そんなブラックボックス、あるほうが害ですよね。
Re:言い訳だけの意味なし対策になりそう (スコア:1)
日本だったらLINEが050番号取って、発信番号欲しいユーザに有償でふりわければいい。
Re: (スコア:0)
本来の電話番号を表示するってのがそもそもの問題ですよね。
他のVOIPみたいにちゃんと050の番号取ってそれを通知するようにすればいいだけなのに。
Re: (スコア:0)
> そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
アプリを乗っ取るアプリも想定しているのでは?
他人のスマホで正当に認証されたSIM(UIM)とLINEアカウントで割り込んじゃうとか。
SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
通信区間に割り込むこと考えたら楽勝な部類だよねとか。
Re: (スコア:0)
> SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
> 通信区間に割り込むこと考えたら楽勝な部類だよねとか。
その区間は暗号化でもしときゃいいわけで。
仮にそこを暗号化していないっていう実装で乗っ取りの脅威への対抗っていうのは、
そもそも「電話番号の通知において不正利用されるのを防ぐため」よりもずっとショボイ次元の話ですよ。
今回の不正利用を防ぐ対策の一つに挙げられるものじゃないです。
たとえば、今回の「電話番号の通知においての不正利用の抑止」としてLINEが挙げる要素に
「開発者を信用できる人にします」とか書かれても「んなもんそもそもやっとけよ!!」でしかないでしょ。
Re: (スコア:0)
> ・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
>
> ・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
>
> ・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、
> 3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
この程度は流石に最初から導入してただろ・・・してたよね?
Re:言い訳だけの意味なし対策になりそう (スコア:2, 興味深い)
してないよ。SIM抜いても番号通知で発信できるし
認証コードをソーシャルハックなどで分かれば他人の番号で発信できる。
Re: (スコア:0)
さすがOINK、便利でいいアプリだ。
Re: (スコア:0)
驚くなよ、実は・・・
Re: (スコア:0)
電話番号を使ったシグナリング(Whatsapp、Telegramなど)なんかでも反対にここまでやっているようなものの方が少ないですね。
SMS認証以上のことをしている実装の方が反対に少ないので、LINEだけ叩くのもかわいそうな感じがする。
Re: (スコア:0)
出てすぐぐらいに一応iPodTouchに入れたんで、ガラケーにSMS送ったはずなんですが、その記憶が一切ありません……
今はLINEアプリ関係のスパムがバンバン着てます。
消しても良いだろって話なんですが……万一入れなおすとなると面倒かなと。