Googleが2段階認証の仕様を変更、キャリアメールアドレスへの送信が不可に 57
ストーリー by headless
変更 部門より
変更 部門より
hylom 曰く、
Googleは12月1日に2段階認証プロセスを変更し、キャリアメールへのログイン確認コード送信を廃止する(Google Japan Blogの記事、 Impress Watchの記事)。
これにより携帯電話キャリアが提供する「docomo.ne.jp」「ezweb.ne.jp」「softbank.ne.jp」などのドメインのメールアドレスを確認コードの送信先として設定しているユーザーはログインできなくなるため、12月1日までに変更するようアナウンスが行われている。
まあ,キャリア変わるとアドレスが変わるしなあ… (スコア:2)
これってセキュリティ的な理由ではないってこと? (スコア:1)
単にキャリアメール対応マンドクセって話なんですかね?
それともキャリア業参入への布石とか...
Re:これってセキュリティ的な理由ではないってこと? (スコア:1)
キャリアメールを特別扱いするだけの理由がなくなったってことかなと。
そもそも2段階認証の手段として経路上が平文の電子メールは不適切なわけだから。
あと日本国内でも「キャリアメール」が特別なものではなくなってきてる事情もあるしね。
一時期はスマホ持ってたら確実にキャリアメールも持ってたけど、MVNOが広まったおかげ
「持ってない人」も多いわけで、メール経路はSMSに一本化してもいいという判断にもなる。
Re:これってセキュリティ的な理由ではないってこと? (スコア:1, 参考になる)
日本だけのためにいつまでも特別対応していられないということかもしれない。
対応を間違えるとRe:ハマトラ事件の再来にもなり得るし。
SHOULD NOT を「RFCに準拠していない」と書くな (スコア:5, 参考になる)
“" "”でくくられたquoted-stringの形式であれば、ドット . の連続やローカル部最後の使用も可能です(quoted-string中では制限はない)。
実際の運用でも、3キャリアのMTAも主要MTAもquoted-string形式に対応していますし、ユーザがquoted-stringの形式にしていなくてもMTAが勝手にエスケープ処理してquoted-string形式にしてくれるので特に互換性での問題も生じていません。
あと、RFCに準拠したMTAなんてスパゲッティーコードのsendmailぐらいしか存在しないので、キャリアメール批判のために、RFCがどのと言い出すと大抵の場合ブーメランになります。
https://tools.ietf.org/html/rfc5321#section-4.1.2 [ietf.org]
While the above definition for Local-part is relatively permissive,
for maximum interoperability, a host that expects to receive mail
SHOULD avoid defining mailboxes where the Local-part requires (or
uses) the Quoted-string form or where the Local-part is case-
sensitive. For any purposes that require generating or comparing
Local-parts (e.g., to specific mailbox names), all quoted forms MUST
be treated as equivalent, and the sending system SHOULD transmit the
form that uses the minimum quoting possible.
一応、このように、quoted-stringはなるべく避けるべき(SHOULD NOT)とはありますが、
「してはならない( MUST NOT )」ではないので、「RFCに準拠していない」というのはガセです。
https://www.ipa.go.jp/security/rfc/RFC2119JA.html [ipa.go.jp]
RFC において要請の程度を示すために用いるキーワード
もご覧ください。
Re: (スコア:0)
> “" "”でくくられたquoted-stringの形式であれば、ドット . の連続やローカル部最後の使用も可能です(quoted-string中では制限はない)。
キャリアメールは、古にそのルールをガン無視した顔文字風メールアドレス
(エイリアス部に -.- を含むなど)作成できた時代があったので、
今もメアド変更されず、亡霊のように残ってる件数が意外と多いのかな
https://www.asobou.co.jp/blog/web/mail-rfc [asobou.co.jp]
Re: (スコア:0)
以前はquoted-string形式にしないで送り付けてきたり、
quoted-string形式で送っても無視されてたとかそういう話じゃないの?
今はquoted-string形式で送受信出来てるんであれば「過去の悪行」かもしれないが…
…悪行は悪行って言う人は言うだろうね。
Re: (スコア:0)
プラス記号使ってるGmailがそんなこと言われても
Re: (スコア:0)
SMSも誰でもやってるもんじゃないと思うが、理由としてはよくわからんな。
SMSは特に廃れていくのは間違いないだろうし。
Re: (スコア:0)
SMSって携帯電話契約すると問答無用で付いてくるサービスだと思ってた
MVNOだと別料金なとこもあるの?
Re:これってセキュリティ的な理由ではないってこと? (スコア:1)
通話できてSMSのない契約はないけど、
データ用だとSMSあり/SMSなしの選択はどこでもあるのでは。
もちろん、ありにすると高い。
自分の場合、通話しないタブレット用はSMSありだけど、2SIM入るスマホのデータ用はSMS契約してない。
Re: (スコア:0)
海外の会員向けサービスだとSMS求められること多いでしょう?
すぐに廃れていくとはとても思えないが。
Re: (スコア:0)
Rich Communication Services (RCS)のことも思い出してあげてやってください
国内でも+メッセージ(プラスメッセージ)という名称でようやくサービス開始したじゃないか。これならLINE嫌いのスラド民も安心して使えるってものだ。
何で? (スコア:0)
リンク先も読んだが、何でキャリアメールアドレスがだめなの?
携帯電話に紐付いて、フリーメールなんかよりよっぽど信頼性高いと思うんだけど。
Re:何で? (スコア:5, 参考になる)
電子メールが許可されている中でキャリアメールが禁止されるのではなく、メールは禁止なのにキャリアメールだけ例外だったという状況です。優遇措置が終わるだけ。
Re: (スコア:0)
キャリアメールも今や契約中の携帯電話端末だけでなくどこからでもIMAP4やWebメールで読めるので、本人以外が認証コードを見る危険性も普通のメールと同程度あると考えるべきなんでしょうね。
Re: (スコア:0)
日本ではSMSに馴染みが薄かったからなのか、代用としてキャリアメールが使えるようになってただけで
結局はSMS使えってことなんではないかと
まぁSMSのセキュリティはどうなんだってのは残る
Re:何で? (スコア:2, 参考になる)
ちなみに音声通話もあるよ。
旧態依然の固定電話だと、こっちを使わざるを得ない。
#普通に電話がかかってきて。「これはぐーぐるの~。コードは次の通りです。
#いち、に、さん、よん...。もう一度くり返します~」みたいな音声が流れる。
「SMSと音声通話に対応してるから、キャリアメールは不要じゃね?」
って判断したのではないのかと。
Re:何で? (スコア:1)
時系列こんなかんじ
GoogleもSMS認証はじめた
日本のスマホだけSMS使えないからキャリアメールにした
MVNO流行ったけどキャリアメールないやん
国際SMS使えるようになってるから対応した
SMS使えるからキャリアメールやめるわ
Re: (スコア:0)
日本のスマホだけSMS使えないからキャリアメールにした
これは違うでしょ。
SO-01C(Xperia arc)のころからSMSつかえたよ。
Re:何で? (スコア:3, 参考になる)
auで国際SMSが使えるようになったのが2012年頃のようです
https://k-tai.watch.impress.co.jp/docs/news/526270.html [impress.co.jp]
Re: (スコア:0)
サーバからのSMS送信が認められてなかったという事では
Re: (スコア:0)
普通にキャリアメールに多量のメールを送るとすぐブロックされちゃうので、
キャリアメールに大量送信する為にその3社と契約結んで金でも払ってたのでは?
利用者減少と大手3社以外のユーザーの増加に伴う見直しで、コスト削減のため廃止方向に舵を切って、
"バックエンドシステム見直し"でその特別な接続が解除されて…、
で、送信できない、ではなくて"受け取れなくなる"になるのでは、と予想。
Re: (スコア:0)
今でも自分でPCからの送信をブロックしてるくせに受け取れないとほざく池沼が多すぎるし
Re: (スコア:0)
何の話?
Re:何で? (スコア:2, 参考になる)
元ACじゃないですがキャリアメールの迷惑メールフィルタの設定のことかと
最近は知りませんが、以前は携帯メール(au、docomo、softbank)のみって設定にしている人が多かったからかと
Re: (スコア:0)
未だにSSL (SMTPS/POP3S) に対応していませんし、キャリアメールだけを優遇する意味は無いと判断したんでしょう。
携帯電話の紐付けという意味ではSMSや音声通話があるわけですし。
Re: (スコア:0)
メールアドレスが簡単に変えられるので、メールが届かないとかなりやすいとか。
MNPしてもメールが届かなくなるし。
Re: (スコア:0)
このね、アカウントのIDにうっかりキャリアメールを使っちゃってて、
キャリア変えた後に気づいた時のアカウントを取り戻すまでの面倒くささw
Re: (スコア:0)
「キャリアメールだけ」可なのはナンセンスだから改善するのは判るが、
「キャリアメールだけ」不可なのもナンセンスで意味不明だわな
SMSだけにするってーならまだわかるけれど
Re: (スコア:0)
確か、
・電話番号かアプリか
を選び、電話番号で日本だと
・キャリアメールかSMSか
選べたのでは?
Re: (スコア:0)
このお知らせが出たころちょうど↓が出たのでこれに変更したけど、いまんとこ他に使い道がない…
Titan Security Key [google.com]
Re: (スコア:0)
DropboxとFacebookはセキュリティキーも使えるから、この辺使ってるならactivateしておけ
Re: (スコア:0)
メールを送る事業者側からすると、キャリアメールは到達性が悪いし、コストもかかる。
Re: (スコア:0)
スパムメールまがいのメールを送りまくってるのはキャリアのせいじゃないだろ
だんだんネットがめんどくさくなる (スコア:0)
この間、reCaptchaがどうしても成功できなくて、あるSNSへの入会をあきらめた。
中国のアリババも同じでガラケーでは2段階認証が出来なくなった。すでに登録済みだったIDが使えなくなった。
もう書留郵便で登録できるようにして欲しい。
Re:だんだんネットがめんどくさくなる (スコア:3, 参考になる)
Yahoo!JAPANの(Yahoo!ショッピングやヤフオクで付与される)期間限定ポイントが、TポイントからPayPayに変わったので、そのためにPayPayに入ったんだけど、登録にSMS認証必須。
今使ってるのはSMS対応のPHSと、MVNOのSMS非対応なデータSIMなんだけど、PHSへのSMS認証は不可っぽい。仕方ないので妻のガラケー(docomo)を借りて登録
これで一段落、と思ったら、「Yahoo!JAPANへのログインをSMS二段階認証」にしないと、Yahoo!ショッピングなどでPayPayポイントを使うことができない。
PayPayとは無関係な場合でも二段階認証必須。
とりあえずその場、ガラケー借りた状態で「SMS認証有効化→PayPayポイントを使う→SMS認証無効化」で切り抜けましたが
今後はPayPayポイントを捨てるか、SMS対応のデータSIMに乗り換えるか、悩んでるとこ。
Re: (スコア:0)
まったく同じだ。SMS認証無効化 [yahoo.co.jp]をブックマークに入れてpaypay使ったらSMS無効化してる。面倒~
Re:だんだんネットがめんどくさくなる (スコア:1)
まあ、SMSは使えればラッキーぐらいに考えてるので仕方ないかなとは思うのですが、
Yahoo!JAPANのQ&A [yahoo.co.jp]では
となっていて、じゃあいったいどういうPHSなら使えるんだよ、さっぱりわからん、と頭を抱えてたのでした。
たぶん、最初からPHSに加入した回線はダメで、ケータイに加入してからPHSにMNPした場合は、いける、ということだと思うのですが、回りくどすぎる…
ていうか、そういう理由だとしたら、逆にPHSからケータイにMNPした場合にはいけるのか、というのが心配になってくる…
Re:だんだんネットがめんどくさくなる (スコア:2, すばらしい洞察)
セキュリティを高める=めんどくさくなるだからね。ほんと嫌
Re: (スコア:0)
あの画像キャプチャ、本当に面倒だよな。SNSではないが、某金融サイトのログイン画面にrecaptchaが追加されて
ログインにかなり時間かかるようになった。キャプチャに成功を意味するチェック入るまでだいたい10分かかる。
中国に転勤中なのでVPNを使ってる、それだけでキャプチャの難易度上がりすぎ。
このサイト [codeberg.org]にもそのことは書いてある。キャプチャとかやめてほしいな・・・
Re: (スコア:0)
広告ブロックでreCaptcha部分の要素を非表示にして進めるサイトはブロックした方がいいよ。サイト側はわからんし。
Re: (スコア:0)
画像キャプチャって、どれだけ人類の時間を無駄遣いしていることか。
本来ならシステムで対応すべき作業を、人にやらせるバカ設計。
考えた人も採用している企業も、ITとして負け。
愚かだわ。
Re:だんだんネットがめんどくさくなる (スコア:1)
あれは自動運転のためのデータセットの作成でしょ。
最近は消火栓が問題として出てるから、そのうちGoogleマップに消火栓の位置が対応するかもしれない。
以前は図書館コンテンツデジタル化のための文字解読だったけど、終わったみたいだね。
Re: (スコア:0)
あれ結構適当に選択している(9マスのうち3,4マス選択すれば通ってしまう)ので、俺の誤選択が将来のGoogleカーの自動運転事故につながるのだろうか。責任とらんぞ。
Re: (スコア:0)
恥ずかしいのは画像キャプチャって日本で発明された技術なんだよな・・・
アイディアを海外勢にパクられて商業的に儲かってもないところまでワンセットで。
フィッシングみたいなメールで通知は本気で勘弁 (スコア:0)
して欲しかった。
この件、PC系サイト等で話が表に出る前に影響が出るユーザーには通知が始まってました。
なんですが、この通知メールが、もんの凄い「フィッシングメール臭い」ブツで。
割と本気で「これ本物か?」って悩みました、はい。
まぁユーザビリティ高めればこうなっちまう(誘導リンクとか)のは分からなくもないのだが。
取り敢えず心臓に悪かった、うん。
Re: (スコア:0)
これは確かに。
会社でG Suite使ってて、通知来たユーザから見せてもらったときはフィッシングかと思った。
社内で管理してる人たちはキャリアメール使ってる率低いだろうし、良く分からない人に届いて踏んじゃう可能性高そう。
いや別に踏んでも問題ないんだけどね。
なんというか、リテラシーない人が確認せずにクリックしちゃいそうな、だけどクリックしちゃダメだろという見た目のメールなのよ。
Re: (スコア:0)
そう思ってすぐ捨てた人結構いると思う。
今は昔 (スコア:0)
昔は「キャリアメールしか信用できねえ」ってサービスが多かったのに、いまは逆か。
DVDの規格争いみたいなもので、提供者が勝手に争ってるだけなのに、
ユーザーにはひたすら面倒くさい。