nothing but trouble RSSフィード

2005/10/17

[] 「はてな便利ツール@RSSを一気に登録」について

ちょっと、引っかかるところが多かったので、念のため注意喚起しておきます。


先日、はてなブックマークで話題になっていたこのツール。

一応、はてなブックマークでも何人かの方がセキュリティ的な部分を気にしておられますが*1、宣伝疑惑の方*2が先行して、セキュリティ面での危険性を真剣に考慮している方が少ないような気がします。


このツールの何処が危険かというと、はてなという自分たちの運営しているものではないサービスのIDとパスワードの入力を促すところです。更に、フォームが暗号化されていないので、入力した情報は、第3者による傍受が可能です。

このようなサイトに対しては、まず、フィッシングを疑うべきでないかと思います。*3


私個人としては、件のサイトがそのような目的で作られているとは考えていませんが、基本的に他のサービスの会員情報の開示を求められるようなツール・サービスはセキュリティ上利用すべきではないと考えています。

また、サービス運営側も、仮に利用者にそういう行動を強いるものを公開するならば、そのサービスは安全であるという何らかの担保を示すべきだと思います。(ex. はてなと機密保持契約を結び、はてな側から安全であるといったのアナウンスがある等。)


「金融サービスの会員情報じゃないから大丈夫じゃないの?」という考え方もあるかもしれませんが、例えば以下の条件にあてはまる方のはてなIDとパスワードが漏出した場合の危険性を考えてみたら、そういう問題じゃないということがわかるでしょう。

  • ダイアリーからYahoo IDがわかる。
  • そのYahoo IDで、Yahoo オークションを利用している。
  • Yahooとはてなのパスワードが同じ。

件のツールは、少なくとも運営者から何らかの担保を示されるまでは、使うべきではないでしょう。


追記:

コメント欄の無体さんの説明が、より具体的です。目を通して頂けると幸いです。


追記2:

説明が追加されています。

元は、このGoogleキャッシュのような感じでした。

追加されている部分は、以下の通り。

ご利用は自己責任で

このツールは非公式ツールです。利用には はてなのID&PASSが必要です。

ツールを運用しているサーバ側ではこれらのアカウントを保持する事は決してありませんが、

利用はあくまで個人の責任の元おねがいします。

勿論、このような説明があったとしても担保にはなりませんし、SSLで暗号化された訳でもないので通信傍受が可能な状態のままです。

*1http://b.hatena.ne.jp/entry/http://hatena.satoru.net/bookmark/rss/

*2http://d.hatena.ne.jp/comnnocom/20051016/satoru

*3:件のサイトは、はてな外のサイトであることは明記されているので、厳密にはフィッシングというものには入らないかもしれませんが。

nobodynobody 2005/10/18 01:58 <読者さん向け> Yahoo! Auctionsとまでいかなくとも、もし仮に件のサービス運営者さんが悪意のひとであった場合、パスワードを奪取され、なりすましを許してしまう危険(具体的には→はてな内の各サービスにおいて自分の名前を騙られて荒らされまくったり、日記を改竄されたり、全削除されたり、はてなポイントを勝手に送信されてしまったり等々)の可能性がありまくりなので、使わないほうが無難ですよねー。</読者さん向け>
で、id:sendさんはおわかりなんだけど、よこから出てきてあえて書いてみました。

というわけで、この件についてはもっと注意喚起しないといけないかな。かずあきさん、グッドジョブ。おつかれさまです。(ありがとうございます)。

あと、あのページで動作例として示している部分、へたするとユーザー名とパスワードの管理責任という点で、もしかすると「はてな」の利用規約違反になりかねないかもとかいうふうにも思ったのですが、いま利用規約を見た限りでは自分(※自分:ここでは動作例として使っている ID == test_account のかた)のパスワードを他者に知らせること自体は違反では無い可能性もあるぽかったっす。(規約的には「はてな」側の免責が主であって、「管理は自己の責任で」という記述はあるものの、「漏洩しないように責任をもって管理しなければなりません」というところまで踏み込んだ記述はありませんでした。ただ、もしかすると「譲渡や貸与の禁止」を規定している箇所にひっかかるかもなので、ちょいグレーかも。)

例によって乱文、というか、だら書きで、すいません。

sendsend 2005/10/18 02:49 あ、はてなポイントが換金可能だってこと失念してましたー。ヤフオクのはお金絡みの例が挙げたかっただけなんですけど、そんな身近なところに!
確かに規約違反の可能性もありますね。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/send/20051017/p1

(C)Kazuaki
Connection: close