「IT」カテゴリーアーカイブ

2010-03
09
21:31:05
docomo ID認証が怪しげすぎる件


NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に

「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。
ポイントはこの3つ。

・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど
・iモードIDとUser-Agentを取得できる
・iモードID 取得はAXでもSREGでも無い独自仕様

つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにしておくと、iモードIDが続々と入手可能になると。ケータイ勝手サイトだけでなく、PCサイトでも堂々とiモードIDが収集できるようになったわけだ。

iモードIDの簡単ログインの問題が話題になっているのは「とある方法で何とかiモードIDを詐称できれば」簡単ログイン対応サイトで不正アクセスが出来てしまうから。なのだけどiモードIDをこうも簡単に取得できるのなら、この方法さえも要らなくて「他にiモードIDを簡単ログインに送り込める方法があれば」簡単ログインサイトの仕様によっては恒久的にセッションを乗っ取ることも可能だろう(セッションIDとしてiモードIDをそのまま使用していた場合など)。
またiモードIDは契約者ごとに固定なので、複数のサイトで「名寄せ」をして完全な個人情報をまとめ上げることも懸念されている。
更にiモードID取得をAXでもSREGでも無い独自プロトコルにしているのは何故だろう。ここは明快な理由が思いつかない。

ありがちなシナリオとしては、例えば僕のような個人でも、docomo ID対応のサイトを作ってブログのコメントやちょっとしたサービス登録をする上でPCのメールアドレスや生年月日、性別ぐらいは簡単に登録してもらえるだろう。ケータイサイト運営だけでは入手しにくい情報もPCサイトと組み合わせることで名寄せをしてより単価の高い個人情報が生成可能になる。なんと素晴らしい!
PCの世界でOpenIDと言えば、Yahoo!やmixiなどのID/パスワードが使える程度の印象しか一般ユーザーは持っていないはずだ。しかし使い方によっては自分のケータイ機種まで知られてケータイでの情報が筒抜けになる、あるいは可能性があることを伝えずに使わせることは、これはもうほとんど詐欺みたいなものだろう。
(因みにYahoo!のOpenIDではLocal Identifierしか取得できない。これは無意味なランダム文字列みたいなものだ。mixiはニックネームは取得できるが、もちろんメールアドレスなどは取得できない。なので名寄せに利用するには敷居が高い)

docomoからすれば、これだけ世に広まっているケータイ認証や決済をPCの世界にも広めたい意図なのだというのは容易に想像できる。しかしこれだけ脆弱性が心配されている「(日本の)ケータイ世界だけの常識」をPCにも広げようという「技術者としての良心」が理解できない。

OpenIDを活用するのならば、ケータイでのOpenIDが利用しにくいことが問題になっているのだから、docomoこそが率先してケータイ端末でのOpenID対応を推し進めるべきではなかったか。現在のiモード認証の限界を超えてよりセキュリティ的にもユーザーへのメリットにも大きな収穫があるはずだし、それが社会の公器として、業界の雄としての役割であろう。

願わくは、ケータイサイトしか知らない「ケータイ脳」の会社がケータイサイトのノリでとんでもないPCサイトを量産しないように、心から願う。

2009-12
17
02:58:39
過保護は主体性を腐らせる、のか


ちょっと唖然としたのでエントリーを上げてみる

まあぶっちゃけ
Amebaのセキュリティ対策について

そもそも脆弱性を意識しているエンジニアがいないから、第三者に頼ってるだけじゃん?ってのが大体の感想だろう。このアメーバのコメントでも「第三者検証まで導入している」というのが免罪符のように語られているのが印象的だ。
これには奥深い物も感じていて、そういう第三者検証を導入するからこそ、現場エンジニアの脆弱性に対する意識や主体性、責任感を欠如させている側面があるのでは?と感じる。

ちゃんと金を払って第三者検証を導入しているアメーバ自体は偉いと思う。上がそれなりには脆弱性に対してプレッシャーを感じている証ではあるだろう。
けれど得てしてそういうプロセスを入れることで現場での「どうせ第三者検証プロセスが入るし」「テストチームがチェックしてくれるし」という意識にも繋がりやすい。更に言えばマネージメント層においても「金を払って検証させているのだから問題が発生したら第三者検証業者の問題だ」とのエクスキューズにも繋がりやすい。

テスト全般では当然のことなのだけど、現場のプログラミングチームが主体性と責任を持てないとバグとか脆弱性は減らないんじゃないかな。だいたい、第三者がコードも見ずに脆弱性なんてまず評価できないと僕は思っている。ブラックボックス・テストでホワイトボックス・テストは兼ねられないはずだから。
はまちちゃんも言っているように、どこが悪いだとかどこを直すではなく全体として脆弱性対策が取られていないというのは、現場が全く意識していなくて、第三者検証部隊はブラックボックステストで分かる範囲しか試して無くて、マネージメントは金を払って責任転嫁できると安心している証左だろう。

この辺のモチベーション維持はまさしくマネージメントの範疇であって、いろいろな方法はあると思うけど例えば、バグや脆弱性などの問題は開発チームの責任であって理由は何であれそのチームが確実に対処すること、問題を少なくするのが開発チームの評価であること、一方テストチームの評価はバグ発見率で行うが一方でバグを見逃したとしても何ら責任を取らなくてよい、という体制でチーム運営したことがある。当たり前のことではあるんだけど、意外にここを明快に出来ていないチームも多い。
結果としてどうだったかはちゃんと効果検証できていない(難しい)ので何とも言えないのだけど、そうした主体性を持たせるチーム作りという発想がないんじゃないかな。
せっかく予算も十分にあるだろうに、もったいない。
方向性のない過保護は結局主体性を腐らせてしまうのだと思う。

一方で経営層とかは、テストチームや脆弱性専門業者も入れて金を使ってるのに何で??とか思って下に当たったりしてるんだろうね。ご愁傷様です。
そういう会社や組織を変えるにはどうするべきなんだろう?と以前考えたことがあるけど、今でもよくわからないです。

2009-12
05
00:43:47
Google日本語入力から結局ATOKに戻すことにした


理由は果たして何が正しい日本語で正しくないのか、判断できないから。
こちらのブログでも指摘されていることなのだけど、例えば「年俸(ねんう)」というのは実は誤読だ。同様に「年棒」も間違い。正しくは「年俸(ねんう)」である。
ATOKであれば正しい「年俸」以外の選択肢は出てこない。「ねんぼう」で変換しようとすると「年俸の誤読」としっかり指摘される。

Googleの発想は恐らく(少なくとも建前上は)「テクノロジーは悪ではない」といういつもの考えに尽きるのだろう。つまり検索エンジンにせよ今回の日本語入力にせよ、膨大なデータから純粋に機械的に集積したものであって、それ自体に悪かどうかなどの視点は含んでいない、ということだ。たとえそれがますますGoogleへの依存を高めるにせよ。
すなわちwisdom of crouws(群衆の叡智)を第一とする考え方である。
けれど、果たして大衆の意見が常に100%正しいだろうか。特に何か一定の答えが厳然として存在する場合には尚更だ。
人間は誤読もするし勘違いもする。それらを何ら一定の判断を課さずに集計するだけでは本当に正しい事実(=真実)には近づかないだろう。
今回の日本語入力はまだ失敗作だと思うのだけど、集合知をいかに活用するべきかのよいテストケースにはなっていると思う。集合知はまだまだ活用するにはその加工が問題になりやすいと思うのだが、そこを超えるブレイクスルーが見つかるきっかけにはなるかも知れない。

ということで、要するにビジネス文書や普段の文書でも恥ずかしい間違いをしたくないので、言語能力を無くした現代人としてはIMEには頼れるナビゲーターであって欲しいというのが理由になるだろうか。

とは言え、少し使うだけでもその語彙の網羅性は確かに強力で、それだけでやられてしまうのもよく分かる。
ならば、もし本当にGoogleが「これでお金を儲ける意図はなくて、純粋に集合知を持って世の人々に貢献したい」とか思うのであれば、ATOKのプラグインとして提供すればいいではないか?
IMEとしての性能ではまだまだATOKの方が上だと思うし、そこにJustSystemなりがGoogle日本語入力の語彙に専門的なトリアージュを施せば最高の出来になると思うんだけどなぁ。

2009-12
03
00:05:32
Squareはおサイフケータイと闘うことになるのだろうか


Squareと呼ばれるiPhoneを始めとした携帯端末でクレジットカード決済を行う拡張端末が話題になっている。

iPhoneを端末にクレジットカード課金ができる―Twitterの開発者、Jack DorseyのSquare、ベータ開始

当然にして日本ではおサイフケータイとの比較で話も進むのだけど、そもそも少なくとも技術的には全く別のレイヤーなのであまり比較しても意味がない気がする。とは言え、実際に日本でサービスを始めたら確かにマーケット的にはかなりの部分でおサイフケータイと被る部分が確かに出てくるだろう。

個人的に衝撃だったのは、このレシートの写真だ。
Continue reading

2009-11
07
04:33:00
WordPressのopenidプラグインでどのOPに対応するか調べてみた


故あって、WordPress2.8.5にopenidプラグインを導入していろいろ試しています。
ふと「どのOPのアカウントでもこのプラグインでログインしてコメントちゃんと書けるのかな」と疑問に思ったので、各種OPで実際に試してみました。
因みにこのopenidプラグインはOpenID2.0にも対応しWordPressも2.8.5でも動作しています。JavaScriptは必要ですが標準のコメントフォームを変更しなくても動的にOpenID対応にしてくれる優れものです。

Continue reading