アカウント名:
パスワード:
「不正使用検知アルゴリズム」なんてのを条件に入れて言い訳してるようにしか見えません。どうせそのブラックボックスのザル処理でなんでも問題なしってことにする腹づもりでしょ?
LINEが「電話番号」を勝手な取り決めで扱うことも問題ですが、それでも真面目にやるつもりがあるならLINE電話での発信時の条件として(例として)
・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、 3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
ような仕組みにすべきです。そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。そんなブラックボックス、あるほうが害ですよね。
> そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
アプリを乗っ取るアプリも想定しているのでは?
他人のスマホで正当に認証されたSIM(UIM)とLINEアカウントで割り込んじゃうとか。SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな通信区間に割り込むこと考えたら楽勝な部類だよねとか。
> SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな> 通信区間に割り込むこと考えたら楽勝な部類だよねとか。
その区間は暗号化でもしときゃいいわけで。
仮にそこを暗号化していないっていう実装で乗っ取りの脅威への対抗っていうのは、そもそも「電話番号の通知において不正利用されるのを防ぐため」よりもずっとショボイ次元の話ですよ。今回の不正利用を防ぐ対策の一つに挙げられるものじゃないです。
たとえば、今回の「電話番号の通知においての不正利用の抑止」としてLINEが挙げる要素に「開発者を信用できる人にします」とか書かれても「んなもんそもそもやっとけよ!!」でしかないでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
言い訳だけの意味なし対策になりそう (スコア:2, すばらしい洞察)
「不正使用検知アルゴリズム」なんてのを条件に入れて言い訳してるようにしか見えません。
どうせそのブラックボックスのザル処理でなんでも問題なしってことにする腹づもりでしょ?
LINEが「電話番号」を勝手な取り決めで扱うことも問題ですが、
それでも真面目にやるつもりがあるなら
LINE電話での発信時の条件として
(例として)
・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、
3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
ような仕組みにすべきです。
そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
そんなブラックボックス、あるほうが害ですよね。
Re: (スコア:0)
> そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
アプリを乗っ取るアプリも想定しているのでは?
他人のスマホで正当に認証されたSIM(UIM)とLINEアカウントで割り込んじゃうとか。
SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
通信区間に割り込むこと考えたら楽勝な部類だよねとか。
Re:言い訳だけの意味なし対策になりそう (スコア:0)
> SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
> 通信区間に割り込むこと考えたら楽勝な部類だよねとか。
その区間は暗号化でもしときゃいいわけで。
仮にそこを暗号化していないっていう実装で乗っ取りの脅威への対抗っていうのは、
そもそも「電話番号の通知において不正利用されるのを防ぐため」よりもずっとショボイ次元の話ですよ。
今回の不正利用を防ぐ対策の一つに挙げられるものじゃないです。
たとえば、今回の「電話番号の通知においての不正利用の抑止」としてLINEが挙げる要素に
「開発者を信用できる人にします」とか書かれても「んなもんそもそもやっとけよ!!」でしかないでしょ。