ぬらりひょん教員再び

武田圭史 » パスワードを定期的に変更することに意味はあるのか?」というネタを慶應義塾大学SFC教員武田圭史を自称するぬらりひょんが公開していたようだ。

そもそも、もともと無駄に長い文に増築を重ねているので、あたかもクソWEBサービスの利用規約やプライバシーポリシーのごとくで読む気が失せる。

さて、このネタは「サービス毎に違うパスワードをつければ良いのでは?」という段落の次のような記述だけだ。

パスワードをサービス提供者側で指定するなどしない限り多くの利用者は今後も複数のサイトで同じパスワードを利用し続けると考えるのが現実的ではないでしょうか。

必要性を感じられない倒置法を使用しており、さらにどこかの県知事で落選した売名と税金寄生虫の愚鈍と同じように句読点が適切に配置されていないために読みづらいので、次の文に読み替える。

多くの利用者は、パスワードをサービス提供者側で指定するなどしない限り、今後も複数のサイトで同じパスワードを利用し続けると考えるのが現実的ではないでしょうか。

これの1文が、「パスワードの定期変更は無駄ではない」を吹聴して売名することの無意味さを自らゲロしていることに等しいことに気付かないのだろうか?

まず、前提条件として「パスワードをサービス提供者側で指定する」とあるが、そもそもパスワードが漏洩するようなサービス提供者側が指定するパスワードならば、いくら定期的にパスワードをサービス提供側の指示に従って変更させられても漏洩してしまうので、この前提条件は偽である。

次に、現実的な利用者の行動の想定として「今後も複数のサイトで同じパスワードを利用し続ける」と考えるのであれば、サービス提供側で変更前と同じパスワードを認めないという仕様を強制しない限り「今後も同一のサイトで同じパスワードを利用し続ける」と考えるのが自然であり、不正アクセスを再度許してしまう。しかし、サービス提供側で変更前と同じパスワードを認めないという仕様を強制するのが一般的であるから、この想定からすると末尾に1文字加えるなどの安易な新しいパスワードを設定することが自然に導かれてしまい、これまた容易に突破されてしまうだろう。

以上のことから、ぬらりひょん教員の問いかけまたは主張のようなこのネタは自壊しており、何らの反論にも論証にもなっていない。

ぬらりひょん教員においては、構って欲しいだけで何ら生産的な論は展開できずにぬらくらするだけなのだから、今まで通りに学生相手にアフィリエイトしたり、ビールをもらったりする糊口しのぎに精を出してはどうだろう?

追記1
そうそう、自前ドメインを使うほどなのだから、wp-login.phpのパスくらい変えて、サイドバーにログイン用のリンクを外しておいたらどうだ?

追記2
Twitterをkeijitakedaで検索すると大変おもしろい傾向がある。keijitakedaは、in-replyになっていないので言及されたことが分からないはずのtweetにわざわざreplyをしていることが多い。わざわざ自分のアカウントをTwitter検索して「否定するならソース出してよ」とばかりに食いついて行っている。しかも自分からは後出しでソースを提示している。いい加減に学内SNSに隠棲した方が良いのではないか? 慶應義塾大学SFCには馬鹿教員が全世界に向けて馬鹿を誇示していると自ら喧伝する必要もないと思うのだが。

広告
ぬらりひょん教員再び

2015年にもなってMACアドレスでかんたん認証

日経コミュニケーション2015年3月号で玄忠雄なる記者が「安全なWi-Fiサービスの作り方」と題した記事を書いていたことがITProで公開された。

出色なのが3ページに次のような記述がある。

あるWi-Fiサービスで捕捉した端末情報(MACアドレスなど)を他のサービスのRADIUSサーバーに照会。登録があれば新たな登録手続きを免除する。

さも良いことのように取り上げているが、2015年にもなって認証にMACアドレスなどの端末情報を使うとはいつの時代に生きているのだろう?

ガラジニアがiOS7以前のUDIDの濫用し、それを問題とした多数の方の動きのおかげ(ex:ブレイブソフトと虚構新聞)でこのようなクソ仕様はなくなったと期待していたが、まだ生き残っていたとは驚きだ。

2015年にもなってMACアドレスでかんたん認証

SSLに新たな脆弱性が発見される

Symantecが「セキュアな通信プロトコルに影響する最新のセキュリティ脆弱性、Logjam」と報じている。

試しに、株式会社cotodeが国の補助金を旨い旨いした「cheeers!」でSSLが使用されている「新規会員登録」を「SSL Certificate Checker – Check for vulnerabilities like HeartBleed」に食わせてみたところ、「FREAK脆弱性」を放置しているそうな。

さすがの株式会社cotode品質ですね。

SSLに新たな脆弱性が発見される

ZDNet Japanの山田竜司はSuica事案を理解できていない

個人情報保護法改正案のインパクト–フュージョンの佐々木社長 – ZDNet Japan」という記事が公開されていた。

記事を書いたのはZDNet Japanの山田竜司なる記者だ。

注目を要するのは2ページ目の「パーソナルデータを扱う注意点」という節の

Suicaカードに記録された購買や乗車の履歴だけでは個人を特定できない可能性が高いが、購買履歴が本当に個人情報に当たらないかなど解釈が分かれ、拒否反応は大きかった。法の改正により、パーソナルデータの違法性は問われなくなる可能性が高い。

という部分だ。事案発生後に生データの識別子を変換テーブルを使って置き換えた半生データであったことが論証されている。しかもこの半生データは利用者数の少ない駅における利用者を時刻で区分するとモロに特定の利用者にと都合するデータセットであることも判明している。

このように論拠自体が虚偽である上に、改正個人情報保護法でもSuica事案は明白に個人情報保護法違反であり、何を言っているのだお前である。

ZDNet Japanの山田竜司はとんだクソ記者だ。それともインタビューを受けた「フュージョン株式会社」の代表取締役社長佐々木卓也が馬鹿なの?

「言ってない、言ってない。もっとよく見て」を回避するために魚拓も保全しておく。

ZDNet Japanの山田竜司はSuica事案を理解できていない

カレログ再び

『[児童見守りサービスの「otta」広島の小学校に日本初導入 – CNET Japan](http://japan.cnet.com/news/service/35064775/』という報道があった。

ざくっと同サービスのWEBサイトを眺めたところ、利用規約の「第10条 (禁止事項)」の(3), (9), (10), (11), (14), および(15)にカレログ的な利用を禁止すると解釈できる条項が列挙されてはいた。

ただし、利用規約の「第19条 (広告掲載)」の

当社は、利用者に適切と当社が判断する広告を本サイト又は本アプリ内に掲載することができます。

に違和感を覚えた。「特定の人物の位置情報を知りたい人物が使用している」という属性情報を付けた個人情報を広告屋に転売しているに等しい行為だからである。

さらに、「プライバシーポリシー」を眺めてみると、「第3条 (利用者情報の利用目的)」の(9)に

上記の利用目的に付随する利用目的のため

というもやっとした特定されていない利用目的が掲げられているのも違和感を抱かずにはいられない。

そして、運営企業の「会社概要」にある所在地はというと、

広島市中区大手町5-16-2 第5イワヒロビル大手町2F

だそうだ。不動産情報を漁ってみたところ、賃貸のワンルームマンションの1室だ。バーチャルオフィスではないだけましだが、自宅兼事業所としか思えぬ。このような零細な企業が公立小学校の児童全員の位置情報を管理し得るのだろうか?

試しに新規登録手順を進めてみたが、otta.bの番号は請求されるが、otta.bを持たされる人との関連性を確認はしていない。つまり、位置情報収集対象となる人物に悪意をもって位置情報閲覧者が登録を行い、otta.b自体が位置情報通知装置だとは認識させずにotta.bを位置情報収集対象に持たせた場合、カレログと同じことができてしまうという脆弱性をもっている。

地下鉄運営会社の職員がPASMOカードの履歴を不正取得してストーキングをしていた事例はすでにある。起業して7ヶ月の賃貸ワンルームマンションでしかない零細企業に位置情報を把握させ、収集された位置情報を誰が閲覧するのかを確定できない脱法行為寸前踏み抜き事業をこのまま容認して良いのだろうか?

根本的に位置情報発信者と位置情報閲覧者を公的証明書をもって関連づけし、位置情報発信者と位置情報閲覧者双方の同意書面をもって運用しなければ、実質的にカレログになるのは明白であろう。

なお、株式会社ottaの代表取締役CEOは岩中貞道であり、代表取締役COOは山本文和だそうだ。事業内容は「位置情報サービスの企画・開発・運営」だ。

今後何かで思い出す機会がなければ良いがね。

カレログ再び

不当な契約条項の削除などを企業に求めることができる

ライザップに広告削除申し入れ NPO「一部が誇大」:朝日新聞デジタル』という報道があった。

ここで気になったのは

NPO法人ひょうご消費者ネットは(中略)国が認定した適格消費者団体で、不当な契約条項の削除などを企業に求めることができる。

という部分だ。脱法ぎりぎりをずかずかと踏み込む「日本の」腐れスタートアップに鉄槌を下せる団体を組織するのも、適切な個人情報の扱いを求めることに声を上げるためには良い手なのかもしれぬ。

不当な契約条項の削除などを企業に求めることができる

母数が異なる比率の比較に意味はあるのか?

元株式会社SIIIS取締役で現株式会社関心空間代表取締役社長の宮田正秀とずぶずぶの鎌倉市議会議員永田磨梨奈のブログに「ゴミ有料化開始1ヶ月終了時点での燃やすゴミ削減量」という記事があった。

なにやら千葉市と比較しているが、Wikipediaによると、「千葉市」の人口は約97万人であり、「鎌倉市」は17万人であるとのことだ。

人口に約5.7倍もの差がある自治体との比率の比較に何の意味があるだろう。母数が異なるものを比較しては意味がないと数学で習わなかったのだろうか?

このような愚鈍な比較しかできないから自治体寄生虫事業を営むクソ野郎とずぶずぶでいられるのだろうね。

母数が異なる比率の比較に意味はあるのか?

個人情報は誰のものか

記者の眼 – 「個人データは自ら管理」vs「匿名加工」、データ活用や企業競争を促すのはどっち?:ITpro」という記事があった。

企業が詐欺的な同意を取りつつ個人情報を収集してこね回し、さらに知らぬ間に増える転売先に売られて「これ買え」よりも、個人情報を生み出して保有している本人が自ら利活用して欲しい提供先を選択した方が、個人情報提供の同意が明確にとれる上に、本人も分かりやすいよねというお話しだ。

CCCの真逆の手法がイギリスでは始まっている。

個人情報は誰のものか

山口俊一IT担当相は愚鈍だ

端末ID「個人情報じゃない」 政府、改正法で方針:朝日新聞デジタル」という報道があった。

iPhoneのUDIDを濫用しているAppがあったころには、このようなAppを提供している各企業に名寄せによるリスクへの認識はあるのかとだただしたことがあったが、タカラトミーさんが躊躇することなく「個人情報だと認識している」と回答していただけたことをよく覚えている。その他にも「お手軽に端末IDを使うことはよろしくない」と理解していただけた企業も数少ないながらあった。

このような経緯がすでにある中で冒頭に取り上げた記事のような発言をする山口俊一IT担当相は愚鈍だ。この議員の名前はよくよく覚えておくべきだろう。

山口俊一IT担当相は愚鈍だ

広告インジェクタ

Google、悪質な“広告インジェクタ”の被害と対策を説明 – ITmedia ニュース」という記事があった。

広告配信元は次の3社
– Dealtime.com
– Pricegrabber.com
– Bizrate.com

インジェクタ
– Superfish
– Jollywallet

Super fishについては、「Lenovo製品のアップデート機能に深刻な脆弱性、更新版で対処 – ITmedia エンタープライズ」のようにThinkPadシリーズを製造販売しているLenovoがやらかした前歴もあり、マシンを買ったままの状況でも養殖している可能性もある。

あなたのブラウザとあなたのLenovo製品は大丈夫ですか?

広告インジェクタ