パスワードを忘れた? アカウント作成
215748 journal

TarZの日記: 高木先生と河野先生がバトルなう 2

日記 by TarZ

 Twitter上で、jbeef先生こと高木先生(HiromitsuTakagi)と河野先生(shinji_kono)がバトルなう。いやあ、何年ぶりでしょうね。

 議論の中身は、携帯電話のかんたんログイン問題について。スタートはこのへんから。↓

HiromitsuTakagi: まず広めなくてはいけないのは、契約者固有IDが無くても「簡単ログイン」は実現できる(一部の機種を除いて)という認識。「IDがなくなると簡単ログインできなくなるじゃん」と言わせないようにすること。

shinji_kono: @HiromitsuTakagi 端末IDは単一性を持っているけど、通常のIDは複製譲渡可能。その辺りはどう解決するの?

HiromitsuTakagi: 質問が抽象的すぎて答えられません。

  :

 最新のツィートの内容はなかなか辛辣なもの。

 個人的には、Twitterはディスカッションには向かないと思う。とはいえ、これだけ普及してしまうと、こういう用途にも使われてしまうのは仕方のないことか。

[5/2 3:20 追記] togetterでまとめてくれた人もいるようです。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 河野先生 (スコア:3, おもしろおかしい)

    by elderwand (34630) on 2010年04月30日 11時05分 (#1757061) 日記

    なんか、久しぶりに名前を聞くような気がして、講義録 [u-ryukyu.ac.jp]とか見たら、

    セキュリティ・フローを指摘する場合

            逆ぎれに気をつけよう (まじ)

    だそうです。うん、教訓にしよう。

  • by Anonymous Coward on 2010年04月30日 21時26分 (#1757459)

    HiromitsuTakagi 2010/04/28 17:28:17
    まず広めなくてはいけないのは、
    契約者固有IDが無くても「簡単ログイン」は実現できる
    (一部の機種を除いて)という認識。
    「IDがなくなると簡単ログインできなくなるじゃん」と言わせないようにすること。

    HiromitsuTakagi 2010/04/28 17:31:08
    そもそも「簡単ログイン」ボタンがあるUIがおかしい。
    だって、押せば入れるんだから事実上それは
    「ログアウト不可」状態なんであって、
    だったらはじめっから入りっぱなしでいいわけで、
    ボタンがある意味が無い。
    なんでこんなのが広まっているのか。
    で、PCではそれをcookieで実現してきた。

    shinji_kono 2010/04/29 19:34:41
    @HiromitsuTakagi
    端末IDは単一性を持っているけど、通常のIDは複製譲渡可能。
    その辺りはどう解決するの?

    HiromitsuTakagi 2010/04/29 19:35:45
    @shinji_kono 質問が抽象的すぎて答えられません。

    shinji_kono 2010/04/29 20:04:46
    @HiromitsuTakagi
    端末IDの用途って、購入したものを、その端末に結びつけることだと思う。
    簡単 login のためだけではないです。
    端末は単一で複製不可能。
    そういう性質は、どうやって実現するのかっていう質問です。

    /*
    >端末は単一で複製不可能
    高木氏は、この一文で怒ってしまったんじゃないかなぁ
    */

    HiromitsuTakagi 2010/04/29 20:06:27
    @shinji_kono ユーザIDでいいでしょう。で?

    shinji_kono 2010/04/29 20:17:26
    @HiromitsuTakagi
    ユーザIDは意図的に人に渡せるので複数の端末に結びつけられてしまいます。
    端末IDは端末に結びついているから、そういうことは起きない。

    /*
    「idとパスが割れちゃったらどうするのか」
    というのが河野氏の疑問点だとエスパーしてみる
    「ユーザが自分で設定するidとパスより
    端末が勝手に送出してる契約者固有IDの方がセキュリティが高い」
    という認識だったんじゃないだろうか
    勝手にコレクションした契約者固有IDで別のサイトにアクセスしうる
    という事を提示すれば、その時点でやり取りが終わってたかも
    */

    HiromitsuTakagi 2010/04/29 20:20:07
    @shinji_kono
    何か問題でも?
    (だからさー、ちゃんと目的とか前提とか示して語れよ。
    15年経ってもfjのときから何も進歩してないんだな。)

    /*
    でも、そんな風に終わらせる高木氏ではないのだった
    */

    shinji_kono 2010/04/29 20:45:14
    @HiromitsuTakagi
    うーん、だからユーザIDでは出来ない端末IDで可能なサービス
    (端末に対する著作物の販売とか)とかがある限り、
    端末ID認証は無くならないって言ってるんだけど。

    HiromitsuTakagi 2010/04/29 20:46:48
    @shinji_kono iTunesストアはメールアドレスに紐付けてますが何か?

    /*
    瞬速で返事するjbeef先生
    */

    shinji_kono 2010/04/29 20:54:54
    @HiromitsuTakagi
    iTunes は機器IDで5台までと言う制限を付けてます。
    iPodも機器を判定して別なものに同期しようとするとそう入れ替えです。
    サーバのみにデータを置くもの以外は結構、端末IDから逃げるのは難しい。

    HiromitsuTakagi 2010/04/29 20:57:13
    @shinji_kono で、誰が端末ID自体をなくせと言っているの?

    /*
    速攻で返事するjbeef先生
    でも、日記でそれに近いことは言ってなかったっけ
    >端末ID自体をなくせ
    */

    shinji_kono 2010/04/29 21:05:46
    @HiromitsuTakagi
    端末IDなくすのは難しい。
    端末IDあったら、それで認証するサービスを無くすのは難しいと思う。
    セキュリティの強度の問題だから、弱い物を選択するのはありだよね。

    HiromitsuTakagi 2010/04/29 21:08:12
    @shinji_kono 認証とは何のことですか?

    HiromitsuTakagi 2010/04/29 21:22:12
    @shinji_kono 「端末IDなくすのは難しい」となぜ
    「それで認証するサービスを無くすのは難しい」のですか?
    (「認証」とは何のことを指すのかを明確化した上で語ること。)

    shinji_kono 2010/04/29 22:20:08
    @HiromitsuTakagi
    認証ってなんなのかっては、難しいから撤退します。
    ごめんね。

    /*
    河野氏は、このツィートの後で、
    契約者固有IDの問題点を把握したんじゃないかなぁ、って気がする
    */

    HiromitsuTakagi 2010/04/29 23:14:44
    認証とは何か抽象論を聞いてるんじゃなくて、
    あんたが語ってるときに指している「認証」は何か
    を聞いてるんだから答えられるだろ。アホか。
    相変わらずあんたと話すのは時間の無駄だ。
    QT @shinji_kono 認証ってなんなのかっては、難しいから撤退します。ごめんね。

    shinji_kono 2010/04/30 01:00:30
    @HiromitsuTakagi
    まぁ、そうかも。
    簡単ログインとかの問題点は理解しているつもりだけど、
    やってしまうのも理解出来る。
    端末IDによるログインだからダメとは一概には言えない。
    sshのkeyにパスワードを付けるかとかと似ている。

    /*
    ちょっとトーンダウンして、歩み寄りの姿勢を見せる河野氏
    */

    HiromitsuTakagi 2010/04/30 08:38:48
    ハア? どこが、sshのkeyにパスワードを付けないことと同列なわけ?
    よくそんなんで大学の情報系で教えてられるわ。
    QT @shinji_kono 端末IDによるログインだからダメとは一概には言えない。
    sshのkeyにパスワードを付けるかとかと似ている。

    /*
    情け容赦なく、がっつりカブりつく高木氏
    */

    shinji_kono 2010/04/30 11:02:38
    微妙に端末IDの話が続いているのか。
    現状で端末IDが必須なサービスがあるってのは良いんだよね。
    で、端末IDを単純送信するような
    簡単ログインみたいなものを使うのは良くないってことでしょ?
    それは詐称が容易とか変更出来ないとか一つしかないとかがあるからってことね。

    shinji_kono 2010/04/30 11:07:34
    端末ID送信による認証が良くない場合は実は限定されているし、
    ユーザ側にも利便性があるから、
    「端末IDやめよう」ぐらいでは説明として足りないと思う。
    無くても出来るから無くせだったら強力だと思うけど、そうではない。
    「ユーザIDで全部出来る」と言うは間違いだから。

    shinji_kono 2010/04/30 12:06:00
    しかし高木さんみたいな罵倒する議論のスタイルが
    いまだに生き残っていると言うのが不思議。
    パネルセッションで質問したら逆ギレされたこともある。
    ま、僕がそういうのを引きつけていることも確かだが。

    /*
    カリカリしながら言い合ってる場面では、面白い発言も出ないっぽい
    興味深いやりとりがあったんじゃないかと、ちょっとだけ期待したんだけど
    */

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...