Hatena::ブログ(Diary)

tech tech okdt RSSフィード

Saturday, April 18, 2009

Poken/セキュリティ上のご注意 - オートログインはoff、でね。

にわかにブームになりかけているソーシャル名刺Pokenにつきまして。

Poken

  • RockStarバージョン。こいつはAmazonでゲット。*1

Pokenについて指摘されている、利用上のセキュリティ問題。*2

But loosing physical control over your Poken is not the only way to get your account compromised. The URL is actually the only thing needed to gain access to your account. And because this URL uses the HTTP protocol (the Poken site doesn't support HTTPS), it's easy to intercept on insecure networks. Insecure networks are not the only issue. Because all the data is in the URL, it will also leave a copy of the URL in different systems on a network, for example in proxy logs.

To prevent unwanted access to your account, disable auto-login for your account (it was enabled by default for my account).

Poken Peek Didier Stevens

超訳しておいた。

Pokenそのものをなくしちゃうとアカウントがやばいわけだけど、それだけじゃない。それぞれのPokenには、所有者個人のアカウントにアクセスできるURLが仕込んである。で、そのサイトへのアクセスはなんと"HTTP"なんだよね。PokenHTTPSを使ってない。Pokenサイトに接続したときには(訳者注:IDもパスワードも)、極めて簡単に傍受されてしまうということ。

まだある。

Pokenで名刺交換したときなどの、あらゆるデータ(訳者注:交換した名刺のIDとか)は、URLのオプションに込めてサーバに送信する仕組みだ(訳者注:だから64個までの名刺データしか貯められないのだ)。だから、たとえばネットワークのWEBプロキシーのログには、そういう記録もまるごとばっちり残ることになる。

とりあえず、自動ログインを無効にしておくことだね。デフォルトでは有効になってるから。

*3

*1YouTubeの画像など見てる限り、Pokenは、「ポーケン」より、「ポークン」かもよ。Pokeするものなんでしょ。(cf. facebook)

*2:Thanks to Go

*3:他の既存のRFIDモノと異なり、そもそも「見せたい」マインドのものだから、なんとか言って話がごっちゃになっちゃいませんように。

投稿したコメントは管理者が承認するまで公開されません。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト

コメントを書くには、なぞなぞ認証に回答する必要があります。

トラックバック - http://d.hatena.ne.jp/okdt/20090418/1240011375