パスワードを忘れた? アカウント作成
11119187 submission

「1行のJavaScriptコードを追加するだけで二要素認証を実現」というサービス、別の意味で注目さ

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
「実践クラウド」なる企業が、「日本初となるJavascriptコードを一行貼るだけで電話認証の仕組みが導入出来る」というサービス「JISSENスマートオース」を発表したのだが、実装の微妙さとWebサイトにある文言で別の意味で注目を集めている。

二要素認証はGoogleなどが採用している認証方式で、Webブラウザ上でのログイン時に、携帯電話にSMSなどを送信することで認証を行うもの。仕組み上、携帯電話番号の登録が必要なのだが、スマートオースのWebサイトには当初「取得した電話番号を使ってSMS等によるCRM戦略も展開可能になります」との文言があり、これは個人情報の目的外使用に相当する。これに付いてはすでに多くの指摘があったようで、Webサイトは早々に修正され、お詫びと訂正が掲載されている。

ただ、これ以外にもツッコミどころは多く、クライアント側で動作するJavaScriptで認証を行うということでクライアント側の操作で認証を突破できる可能性が指摘されているほか、一時公開されていたデモにおけるセキュリティ面での実装のまずさなどもTwitterで指摘されている。
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...