アカウント名:
パスワード:
この記事 [takagi-hiromitsu.jp]で
(略)というわけで、ここまで「ケータイ脳」が業界に深く根ざしているとなると、今後も、iPhoneに限らずAndroid等においても、同様の設計ミスで脆弱性を作り込んでしまう事業者が出てくるだろう。(略)
と危惧していた事が現実に起きたわけですしね。
#そういえば端末固有IDを簡単ログインに使っていたせいで個人情報漏洩事故が発生したの、ちょうど1年前じゃなかったっけ。
User-agent や HTTP の勝手ヘッダに IMEI を入れるのは問題ではあるけど、それが「脆弱性を作りこんで」いるかというと、かなり微妙。
とりあえず、みんなで偽IMEI付きUser-agent や偽IMEI入り勝手ヘッダを生成してアクセスしまくってやれば、そんな仕様には意味がなくなって変えざるを得なくなるのではないですかね。
偽計業務妨害罪に問われたりして…
しかしTogetterまとめ見たけど、「IMEI知られて何か問題でも?」って意見は結構あるのね。名寄せの危険性って意外と認識されていないものなのか。結構昔からある話題なのに。
名寄せによる危険が明確ではないからじゃない?一般人は多少行動追跡されたところで、危険といえるほどの状況に陥る可能性は低いだろうし。
一般人は多少行動追跡されたところで、危険といえるほどの状況に陥る可能性は低いだろうし。
〜端末識別番号が垂れ流されている世の中〜
話題のダイエット支援サイトを利用しているAさん、毎晩、体重とその日食べたものを入力することで、体重のグラフや栄養面でのアドバイスが出るのでとても便利。もう1年以上利用している。そのサイトには名前を入れるような会員登録はなくて、データは端末識別番号で管理されている。端末識別番号だけではそれがAさんだとはわからないから「個人情報ではありません(キリッ」そのダイエット支援サイトは、利用者の入力したデータを端末
ストーカーは危険ですが、ストーカー被害にあう可能性はあまり高くないですから、それでは一般的な同意は得にくいと思いますよ。逆に、俺にストーカーなんて縁がないよなあ、と危険性を少なく見積もられる可能性もありますし。クレジットカード番号→不正請求、メールアドレス→スパムメール、みたいに誰でも遭遇するようなものでないと。
その例は、「データを売るダイエット支援サイトが悪い」って言われるだけでは。それとも、そのサイトの行為に問題はないと言いきっちゃいますか?端末識別番号を送る行為を非難するために、データを売るサイトの行為をOKってことにしちゃうのは本末転倒だと思いますよ。
ストーカー問題に関しては、ポイントカードとかでも同じ問題があります。ポイントカードの使用情報が売られてなくても、中の人には丸見えだろうってのは思っていても、それでもみんなポイントカードを使ってるわけで。
データを得たサイトが、よそへデータを漏らさないのが前提なら、そもそも「名寄せによる危険」なんて説明できないじゃないか。
ポイントカードのくだりはまさにその通り。今回はスマホ買ったら強制的にポイントカードに加入させられ、使用者がポイントカードを使おうと意識しなくても勝手に使われる可能性があるのが問題。
データを得たサイトが、よそへデータを漏らさないのが前提なら、
その割には、そのサイトが名前や住所、メールアドレスなどの情報は漏らさずにいてくれる、というのは前提にするんだよね。金のためなら端末識別番号つきのデータを売るサイトが、なぜか名前や住所に関しては突然倫理的になって売らずにいてくれるという謎の前提がないと成立しない議論に、一体どういう意味があるのでしょうか。
そもそも「名寄せによる危険」なんて説明できないじゃないか。
不特定多数に売るような例
まぁ、メールアドレスでログインに比べればなw
携帯の場合では話が通じないのであれば、あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?昔Intelプロセッサで騒ぎになったことじゃないか(携帯でエロはしないから誰も気にしない?)ちなみに今は偽造対策のためにLSIに固有ID打つのは珍しくない時代です
エロ携帯漫画は山のようにあるよ。
あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。
怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。 というか、そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?
>怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。
あなたの周りでは普通だったんでしょうね。普通の人は多段プロキシなんて思いもよらないでしょうけど。
そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?
全体からみればごく一部の人が反対運動してただけでしょう。ほとんどの人はそんなことがあったことも知らなかったのでは。全世界で数億人の人がPSN反対運動を起こしたとでも思ってるんでしょうか?数千万人でも全体からみれば一部ですね。実際には数万人とかそんなもんでしょ。
ええ? 私のIPアドレスは毎日変化していますよ? あなたは違うの?
あなたの環境がどうなってるかなんて、誰も気にしないのでわざわざ言わなくてもいいですよ。
固定IPアドレスサービスを使ってなくても、ルーターつないで電源入れっぱなしとか、珍しくもないでしょ。
あるいは「パソコンにインストールされたWindows OSのシリアルナンバーを、IEがWebサーバにアクセスするたびにhttpヘッダとしてサーバに送信していたらどうなる?」とか。
学生時代に研究室でこう説明したときは、それに嫌悪感を示さなかった人はいなかったんですけど、なんかtwitterまとめとか見てるとケータイ開発者の皆さんはそうでもないみたいですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
そりゃひろみちゅ氏も怒るわ (スコア:1)
この記事 [takagi-hiromitsu.jp]で
と危惧していた事が現実に起きたわけですしね。
#そういえば端末固有IDを簡単ログインに使っていたせいで個人情報漏洩事故が発生したの、ちょうど1年前じゃなかったっけ。
Re: (スコア:0)
User-agent や HTTP の勝手ヘッダに IMEI を入れるのは問題ではあるけど、それが「脆弱性を作りこんで」いるかというと、かなり微妙。
とりあえず、みんなで偽IMEI付きUser-agent や偽IMEI入り勝手ヘッダを生成してアクセスしまくってやれば、そんな仕様には意味がなくなって変えざるを得なくなるのではないですかね。
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
偽計業務妨害罪に問われたりして…
しかしTogetterまとめ見たけど、「IMEI知られて何か問題でも?」って意見は結構あるのね。
名寄せの危険性って意外と認識されていないものなのか。結構昔からある話題なのに。
Re: (スコア:0)
名寄せによる危険が明確ではないからじゃない?
一般人は多少行動追跡されたところで、危険といえるほどの状況に陥る可能性は低いだろうし。
Re: (スコア:0)
〜端末識別番号が垂れ流されている世の中〜
話題のダイエット支援サイトを利用しているAさん、毎晩、体重とその日食べたものを入力することで、体重のグラフや栄養面でのアドバイスが出るのでとても便利。もう1年以上利用している。
そのサイトには名前を入れるような会員登録はなくて、データは端末識別番号で管理されている。
端末識別番号だけではそれがAさんだとはわからないから「個人情報ではありません(キリッ」
そのダイエット支援サイトは、利用者の入力したデータを端末
Re: (スコア:0)
ストーカーは危険ですが、ストーカー被害にあう可能性はあまり高くないですから、それでは一般的な同意は得にくいと思いますよ。
逆に、俺にストーカーなんて縁がないよなあ、と危険性を少なく見積もられる可能性もありますし。
クレジットカード番号→不正請求、メールアドレス→スパムメール、みたいに誰でも遭遇するようなものでないと。
Re: (スコア:0)
その例は、「データを売るダイエット支援サイトが悪い」って言われるだけでは。それとも、そのサイトの行為に問題はないと言いきっちゃいますか?端末識別番号を送る行為を非難するために、データを売るサイトの行為をOKってことにしちゃうのは本末転倒だと思いますよ。
ストーカー問題に関しては、ポイントカードとかでも同じ問題があります。ポイントカードの使用情報が売られてなくても、中の人には丸見えだろうってのは思っていても、それでもみんなポイントカードを使ってるわけで。
Re: (スコア:0)
データを得たサイトが、よそへデータを漏らさないのが前提なら、そもそも「名寄せによる危険」なんて説明できないじゃないか。
ポイントカードのくだりはまさにその通り。
今回はスマホ買ったら強制的にポイントカードに加入させられ、使用者がポイントカードを使おうと意識しなくても勝手に使われる可能性があるのが問題。
Re: (スコア:0)
データを得たサイトが、よそへデータを漏らさないのが前提なら、
その割には、そのサイトが名前や住所、メールアドレスなどの情報は漏らさずにいてくれる、というのは前提にするんだよね。金のためなら端末識別番号つきのデータを売るサイトが、なぜか名前や住所に関しては突然倫理的になって売らずにいてくれるという謎の前提がないと成立しない議論に、一体どういう意味があるのでしょうか。
そもそも「名寄せによる危険」なんて説明できないじゃないか。
不特定多数に売るような例
Re: (スコア:0)
まぁ、メールアドレスでログインに比べればなw
プロセッサ・シリアル・ナンバ (PSN)のデジャブ (スコア:0)
携帯の場合では話が通じないのであれば、あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
昔Intelプロセッサで騒ぎになったことじゃないか
(携帯でエロはしないから誰も気にしない?)
ちなみに今は偽造対策のためにLSIに固有ID打つのは珍しくない時代です
Re: (スコア:0)
エロ携帯漫画は山のようにあるよ。
Re: (スコア:0)
あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。
IPアドレスを隠すのはよく見かける光景 (スコア:0)
あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。
怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。
というか、そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?
Re: (スコア:0)
>怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。
あなたの周りでは普通だったんでしょうね。
普通の人は多段プロキシなんて思いもよらないでしょうけど。
Re: (スコア:0)
そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?
全体からみればごく一部の人が反対運動してただけでしょう。ほとんどの人はそんなことがあったことも知らなかったのでは。全世界で数億人の人がPSN反対運動を起こしたとでも思ってるんでしょうか?数千万人でも全体からみれば一部ですね。実際には数万人とかそんなもんでしょ。
Re: (スコア:0)
ええ? 私のIPアドレスは毎日変化していますよ? あなたは違うの?
Re: (スコア:0)
あなたの環境がどうなってるかなんて、誰も気にしないのでわざわざ言わなくてもいいですよ。
固定IPアドレスサービスを使ってなくても、ルーターつないで電源入れっぱなしとか、珍しくもないでしょ。
OSのシリアルナンバー (スコア:0)
あるいは「パソコンにインストールされたWindows OSのシリアルナンバーを、IEがWebサーバにアクセスするたびにhttpヘッダとしてサーバに送信していたらどうなる?」とか。
学生時代に研究室でこう説明したときは、それに嫌悪感を示さなかった人はいなかったんですけど、なんかtwitterまとめとか見てるとケータイ開発者の皆さんはそうでもないみたいですね。