「1行のJavaScriptコードを追加するだけで二要素認証を実現」というサービス、別の意味で注目される 17
ストーリー by hylom
誰か途中で止めなかったのだろうか 部門より
誰か途中で止めなかったのだろうか 部門より
あるAnonymous Coward 曰く、
「実践クラウド」なる企業が、「日本初となるJavascriptコードを一行貼るだけで電話認証の仕組みが導入出来る」というサービス「JISSENスマートオース」を発表したのだが、実装の微妙さとWebサイトにある文言で別の意味で注目を集めている。
二要素認証はGoogleなどが採用している認証方式で、Webブラウザ上でのログイン時に、携帯電話にSMSなどを送信することで認証を行うもの。仕組み上携帯電話番号の登録が必要なのだが、スマートオースのWebサイトには当初「取得した電話番号を使ってSMS等によるCRM戦略も展開可能になります」との文言があり、これは個人情報の目的外使用に相当するという指摘が寄せられた模様。そのためWebサイトは早々に修正され、お詫びと訂正が掲載されている。
これ以外にもツッコミどころは多く、クライアント側で動作するJavaScriptで認証を行うということでクライアント側の操作で認証を突破できる可能性が指摘されているほか、一時公開されていたデモにおけるセキュリティ面での実装のまずさなどもTwitterで指摘されている。
早計かな (スコア:2)
末端利用者から見える部分の動きが怪しさ満点に近いだけで、裏側がどうなっているかまでは分からないっていう感じ。
発想がなんというか貧弱 (スコア:1)
新規性や技術への自信よりも売る気満々な文句といい、セキュリティソリューションなのにこう脇が甘い点といい。
これ、技術者の発想じゃないなあ...企画発案者はきっと根っからの商売人だ。
Re: (スコア:0)
パイプドビッツと言う会社はAKB総選挙のシステム担当みたいですから、Yoichi Tomi と言う人が発案者では?
Re: (スコア:0)
AKB総選挙に耐えたなら、それなりにミドルやインフラには強そうだけど、セキュリティは別物だしね。
Re: (スコア:0)
Amazonガチャみたいな学生ベンチャーの匂いが。
Re: (スコア:0)
どう見ても違うだろ
どうやって実装するんでしょうか (スコア:1)
ログインページでJavascript実行してキーを取得
↓
システムからAPIで問合わせ?
Re: (スコア:0)
それだと問い合わせのコードも必要になってしまう。
このサービスにパスワード預ける形にしたらいいんじゃない?
Re: (スコア:0)
javascriptでこのサービスのsessionつくって認証キー設定して、二段階認証でキー渡して入力してもらってjsonpで確認して、全部OKで始めて利用サイトのformをsubmitする、とか?
Re: (スコア:0)
関係ないけど 1行って意味あるのかな。
10,000文字あっても改行がなければ一行か?
Re: (スコア:0)
「貼るだけで」と書いてあるので。 script src …と1行貼り付けて、
中身に、大量のdocument.writeがあっても貼るのは1行だと思うよ。
Re: (スコア:0)
ここにあった記事によると外部スクリプト読み込みのscript要素1行でしたが、「2014年6月18日、掲載しましたブログの記事「Jimdoのお問い合わせフォームにJISSENスマートオース(本人認証)を入れてみました!」は、実践クラウド社のサービスに不備が発覚したため、削除いたしました。」とかいって消されましたね。
http://blog.twilio.kddi-web.com/2014/06/17/jimdo [kddi-web.com]のお問い合わせフォームにスマートオース-本人認証-を入れてみました/
叩かれて (スコア:1)
セキュアなサービスになるといいですね。
企業情報 (スコア:0)
資本金:500,000円
従業員数:1名
お察し下さい。
Re: (スコア:0)
いまは3人みたいだよ(ただ、取締役2名使用人1名という意味なのかもしれないが)
http://www.jissen-cl.co.jp/#company_jump [jissen-cl.co.jp]
Re: (スコア:0)
取締役も従業員に数えるの?
この事例も変 (スコア:0)
>【携帯電話を用いた二要素認証活用事例】
> (4) ソーシャルメディア
> 例えばクチコミ系サイトの場合、認証強度を高めることで不正な評価向上を目的とした業者等を排除することが出来ます。また、有名人になりすまして悪名を広める等の被害を防ぐうえでも、本人認証の強化は必須となっています。
勝手に有名人の名をかたるのは防げないよ・・・。
逆に言うと、「既に有名人の電話番号は入手済みだから登録時にチェックできます」とでも主張してるようにも見えますね。実に、いまどきのクラウドを実践してるって感じです。