openidの危険性
No:159 Time[2008-05-20 20:39:03]
openidとは早い話、色々なところで別々のID登録するのはわずらわしいから、
ID認証は一つにして本人確認をより簡単にしましょうというサービスのようです。
ここで一つ思ったこと、確かに便利になるでしょうが、このサービスが一般に普及
するには、出会い系サイト規制法案に伴う18才以上の本人確認に使うといいのではないでしょうか?同じようなことを住基ネットでしたらいいじゃないですか?
と前にブログで書きましたがgoogleやらyahooやら大手サイトが軒並み参加を表明しているこのopenidに年齢確認にの機能を入れてしまえば、法的な年齢確認部分はクリアーされますよね。ただ、ここで国の機関がいや、そういうことは国の機関で行わないと、天下り先が減るでしょうといわなければいいのですが。。。。。とまあ、出会い系サイトの認証部分に入れてしまえば、爆発的にヒットするでしょうが、逆にそこまで強い力をopenidの組織が持ってしまうと、変にここのサイトは許可する、ここのサイトは許可しないみたいな問題が出てくるだろうし、そうなってしまってからでは、独占の問題だとか(一つだからメリットがあるのですが)色々出てきそう。小さいサイトに許可していては、大変な負荷にもなるだろうし、うーん難しいですね。それに一番危惧するのは、やはりセキュリティの問題でしょうか。一つのIDとPASSWDでありとあらゆることができるとなると、狙われるのは目に見えていますし、そう考えるとIDとPASSWDはやはり、openID側でログインして→個々のサイトにという形でなければ、信頼できないサイトでIDとPASSWDの入力を即して→openID側ではあまりに危険ですものね。
ということで、私はこのopenid将来不正サイトの出現により破綻すると思います。
何といっても一般ユーザーは何が危険なのかという知識がありません、あちこちで導入しているあのyahooでも使っているopenidですよ、それをこのサイトも導入しているのだからこのサイトは安全なサイト。なんておもっちゃうのが落ちでしょう。
なので、たくさんのサイトでIDとPASSWDを共有するという考え方よりも、ログイン認証するのはあくまで、openid等の一つの入り口、認証したら、そのユーザーが許可する範囲で許可を施す為のランダムで時間期限のあるシリアルを発行、そのシリアルを個々のサイトで登録すると、openid側では許可されている範囲でのみ、個人情報を送信するといった方式にしないと、大手ならともかく末端のサイトまで利用できるようになるとは到底思えないし、不正なサイトがopenidのIDとpasswdを取得するといったことになるんではないですか?更にいうと、IDにサブドメイン、URLを使っているのは、idがダブらないようにするためのもんですが、セキュリティ的にみたら、かなり危なくないですか?
強度的に言えば、そこまで特定できれば、。。。。
ということで、多分流行れば流行るほどなんかの問題がでるでしょうね。
やはり、便利さ優先、大手優先ですか。。。だんだんインターネットも庶民からは遠いところに企業独占方面にいってるような。。。
なんか考えてたらドメインとってしまった。
最近、出会い系サイト規正法案で書いたら、すごい上位。。。
うーん、さてはて、同じようなこと考えてる人どれくらいいるのかな、まあ、
外国なら、少しはいるんだろうけど、予想はスパムメール一日100通で終わり(笑い)
http://agecheck.jp/
ID認証は一つにして本人確認をより簡単にしましょうというサービスのようです。
ここで一つ思ったこと、確かに便利になるでしょうが、このサービスが一般に普及
するには、出会い系サイト規制法案に伴う18才以上の本人確認に使うといいのではないでしょうか?同じようなことを住基ネットでしたらいいじゃないですか?
と前にブログで書きましたがgoogleやらyahooやら大手サイトが軒並み参加を表明しているこのopenidに年齢確認にの機能を入れてしまえば、法的な年齢確認部分はクリアーされますよね。ただ、ここで国の機関がいや、そういうことは国の機関で行わないと、天下り先が減るでしょうといわなければいいのですが。。。。。とまあ、出会い系サイトの認証部分に入れてしまえば、爆発的にヒットするでしょうが、逆にそこまで強い力をopenidの組織が持ってしまうと、変にここのサイトは許可する、ここのサイトは許可しないみたいな問題が出てくるだろうし、そうなってしまってからでは、独占の問題だとか(一つだからメリットがあるのですが)色々出てきそう。小さいサイトに許可していては、大変な負荷にもなるだろうし、うーん難しいですね。それに一番危惧するのは、やはりセキュリティの問題でしょうか。一つのIDとPASSWDでありとあらゆることができるとなると、狙われるのは目に見えていますし、そう考えるとIDとPASSWDはやはり、openID側でログインして→個々のサイトにという形でなければ、信頼できないサイトでIDとPASSWDの入力を即して→openID側ではあまりに危険ですものね。
ということで、私はこのopenid将来不正サイトの出現により破綻すると思います。
何といっても一般ユーザーは何が危険なのかという知識がありません、あちこちで導入しているあのyahooでも使っているopenidですよ、それをこのサイトも導入しているのだからこのサイトは安全なサイト。なんておもっちゃうのが落ちでしょう。
なので、たくさんのサイトでIDとPASSWDを共有するという考え方よりも、ログイン認証するのはあくまで、openid等の一つの入り口、認証したら、そのユーザーが許可する範囲で許可を施す為のランダムで時間期限のあるシリアルを発行、そのシリアルを個々のサイトで登録すると、openid側では許可されている範囲でのみ、個人情報を送信するといった方式にしないと、大手ならともかく末端のサイトまで利用できるようになるとは到底思えないし、不正なサイトがopenidのIDとpasswdを取得するといったことになるんではないですか?更にいうと、IDにサブドメイン、URLを使っているのは、idがダブらないようにするためのもんですが、セキュリティ的にみたら、かなり危なくないですか?
強度的に言えば、そこまで特定できれば、。。。。
ということで、多分流行れば流行るほどなんかの問題がでるでしょうね。
やはり、便利さ優先、大手優先ですか。。。だんだんインターネットも庶民からは遠いところに企業独占方面にいってるような。。。
なんか考えてたらドメインとってしまった。
最近、出会い系サイト規正法案で書いたら、すごい上位。。。
うーん、さてはて、同じようなこと考えてる人どれくらいいるのかな、まあ、
外国なら、少しはいるんだろうけど、予想はスパムメール一日100通で終わり(笑い)
http://agecheck.jp/
