LAWSON Wi-Fi ログイン方式騒動、パスワード方式も併用へ 39
ストーリー by reo
どうしてこんなになるまで(略) 部門より
どうしてこんなになるまで(略) 部門より
m.sakkanen 曰く、
スマートフォン向けの無線 LAN 接続サービスの LAWSON Wi-Fi にてログイン時に電話番号/誕生月日を求められるという問題に対して、ローソン側が準備が整い次第、できる限り早い時期にパスワード方式の選択を可能にするという発表をしたようだ (ITmedia ニュースの記事、ローソンのニュースリリースより) 。
これにより、任意の番号を用いたパスワード機能が利用できるようになり、シートに印字される Ponta 会員 ID 番号の一部がマスキング処理されるようになる。利用規約の記載も変更されるようだ。
既存方式も残す決定のようだが、これで問題は片付くのだろうか?
「任意の番号」というあたり、「パスワード」じゃなく暗証番号なんだろうなあとか邪推。
その他の情報の扱いはそのまま? (スコア:4, 興味深い)
Android ID やら SIM のシリアル番号やら、いろいろ抜き放題で、しかも非 SSL/TLS で、WEP すらかけていない、という状況は変える気は無い?
Re:その他の情報の扱いはそのまま? (スコア:1)
収集したデータに基づくマーケティングデータの提供とか、それをエサに提携先拡大してきたんじゃないか?・・・・・とか。
そういう話もありえそうな気がする。
Re: (スコア:0)
そうなのか。正気とは思えない。どんな素人がやってるんだろう。
Re: (スコア:0)
お店の宣伝を見てもらうためのWiFiスポットという位置づけなんじゃね。
Re: (スコア:0)
人のスマートフォンをデジタルサイネージ化するって発想だったんですか。
Re: (スコア:0)
Android ID やら SIM のシリアル番号やら、いろいろ抜き放題で、
しかもそれを全く暗号化してない経路で持って行くのが問題です。
jbeefはそもそもパスワードをつけろとは言っていない (スコア:3, 参考になる)
https://twitter.com/HiromitsuTakagi/status/189844187913523203 [twitter.com]
Re: (スコア:0)
ここで言ってるログインって、結局ID+パスワードを同じ枠に入力するだけですよ。
まあ本筋はそっちじゃなく、AndroidIDなどを抽出してた件のほうらしいけど。
Re:jbeefはそもそもパスワードをつけろとは言っていない (スコア:2)
同じ枠?
一般に、IDは人に公開しても良い(しなくても良い)情報で、パスワードは秘匿する情報なんで、同じ枠に入力するなら長いIDであってパスワードじゃない。
パスワードの代わりに、電話番号+誕生日を入力させ、それらを秘匿させる規約の方も本筋でしょ。
これが普通だと思ってしまった人は、金融機関でも電話番号や誕生日を使ってしまうようになるかも知れず、社会正義に反している。
Re: (スコア:0)
このパスワードが漏えいした場合のリスクが良くわからないので、適切かどうかはわかりませんが、
一般に、パスワードを入力すべき個所が多いほど、セキュリティリスクは増大します。
#必要なところでしないのも問題なので、多からず少なからず必要最小限が理想だけど難しいけど。
Re: (スコア:0)
違うでしょ。twitterは文脈ぶった切って拡散するから怖い。
電話番号、誕生日はパスワードじゃないんだからローソンがなりすまし等の責任を全部負ったうえで、
認証無しで使わせたらいい。という無理難題な提案だよ。
規約どうなったん? (スコア:0)
> 電話番号/誕生月日を求められるという問題
ponta会員なので教えられません・・・
もし入力したら規約違反?
Re:規約どうなったん? (スコア:1)
×ponta会員なので
○LAWSON Wi-Fi利用者なので
ponta自体の規約にはそんなこと書いてあるわけじゃないからLAWSON Wi-Fiを利用した人以外は規約は関係ない。(なかった)
Re: (スコア:0)
○Ponta会員(ローソンアプリ利用者に限る)
ponta自体の規約じゃないですよ
別ツリーを読むか、過去のタレコミを参照してください
http://security.srad.jp/story/12/04/09/083258/
Re:規約どうなったん? (スコア:1)
認識はあってたけど元コメの意味を読み間違えましたorz
Re: (スコア:0)
銀行の暗証番号も、ひとに教えちゃいけないけど、ATMには入力するでしょ?
Re:規約どうなったん? (スコア:2)
初期の規約が、
「ローソンWifiで認証に誕生日と電話番号使うから、誕生日と電話番号を他人に漏らしたらそれ、規約違反だから!不正利用されてもうちのせいじゃないからね!」
という、ローソンwifi利用者は、電話を持ちながら他人に電話番号を教えることを禁止され、誰からも誕生日を祝われないことを強いられるという、おもしろ規約だったんだよ。取り消したけどw
---------------------------- うちの猫は、ながぬこ
Re:規約どうなったん? (スコア:2)
ソレはヒドイw
誕生日と電話番号をパスワードにしてはいけません。
と、ユーザー登録するときにあちこちで注意されているのに・・・
#こないだもdocomoの窓口でそれを言われた。
Re: (スコア:0)
それは分かります。
でも、他人に漏らさないとは言っても、正当な認証目的で必要な場面では入力なり開示なりするでしょ?
それは一般的なパスワードや暗証番号でも同じでしょ?ということ。
つまり、突っ込むべきところは(1)認証のための情報として(ふつう他人も知ってる)誕生日と電話番号を使い、
それを他人に知らせるとき約違反になってしまうという点ですよね。
(2)認証のための情報を正当な認証のために入力するだけで違反になっちゃうかどうかは、それとは独立した話題ですよね。
(1)についてはおもしろすぎる(というかひどすぎる)ので、いくらでも突っ込めばいいと思うのですが、
どさくさにまぎれて(2)もついでに突っ込んでる(しかも、(1)と(2)とが別件であることを
わざとあいまいにした形で)ような印象だったので。
だからといって、おもしろ規約であることには変わりなかったんですけどね。
Re: (スコア:0)
#2134106 [yro.srad.jp]のコメントの方なのかな?
だとしたら、#2134137 [yro.srad.jp]のコメントでも指摘されてますが、別のサービスですので、銀行云々の話はちょっとずれているかと思います。
銀行の暗証番号の場合は、「他人に教えてはいけないとされている番号」を、「その規約を作ったサービス提供者」に対し開示しているわけですが(他行のATM経由で……というのはまあ面倒になるので省略)、今回の元コメの突っ込みの場合は、「pontaというサービスの提供者が、他者に誕生日や電話番号を漏らすことを禁止」している状況で、「別の事業者が行う別のサービスであるローソンWifiに対し誕生日などを提供する」という
Re: (スコア:0)
> 他行のATM経由で……というのはまあ面倒になるので省略
> 今回の元コメの突っ込みの場合は、「pontaというサービスの提供者が、他者に誕生日や電話番号を
> 漏らすことを禁止」している状況で、「別の事業者が行う別のサービスであるローソンWifiに対し誕生日
> などを提供する」という状況になります。
いままさに、他行のATM経由と同じような状況だと思うのですが。省略されても。。。
「A銀行が、他者に暗証番号を漏らすことを禁止」している状況で、「B銀行のATMに対し暗証番号などを
提供する」という状況ですよね。
Re:規約どうなったん? (スコア:2)
ネットバンクでPCに入力したり携帯のバンキングで携帯に入力したりするのと変わりません
(まあ銀行の例だとIDもパスも別物を設定しますが。)
pontaは「A銀行のサービスにログインする時にBの暗証番号入力が要る」という話。端末によらず。
Re: (スコア:0)
その差は、利用者からは分からないですよね。
規約上、「A銀行/Aコンビニの端末経由で本来利用しているB銀行のサービスにログイン」する場合は認証情報の提供がOKで、
「A銀行のサービスにログインする時にBの暗証番号入力が要る」場合は認証情報の提供がNGだとしても、
利用者には区別がつきません。
それから、「A銀行のサービスにログインする時にBの暗証番号入力が要る」場合についてですが、
そういうことを求めることそのものが問題なのか、
そういうことを求めることそのものは問題ではないが、規約でそれを認めていないのが問題なのか、
どちらなのでしょうか。
Re:規約どうなったん? (スコア:2)
A銀行はキーロガーでも付けなきゃ、B銀行の暗証番号は知り得ませんよね。
電話番号/誕生月日だから面白ネタの範疇ですけど
その差は、利用者からは分からないですよね。
なのでそう誤認させて暗証番号を抜く…のはフィッシングの手口ですね。
以上が理解出来ればだいたいわかるんじゃないかと。
Re: (スコア:0)
何かの規約をパクって「パスワード」を「電話番号・誕生月日」に置換した結果だろうね。
Re: (スコア:0)
まったくの的外れですよ
銀行の場合は同一サービス内での話ですが
ローソンの場合は異なるサービス間での話です
こちらを読めば何をいっているのかわかりますよ
http://security.srad.jp/story/12/04/09/083258/ [srad.jp]
Re: (スコア:0)
電話番号は元から他人に教える情報。
秘匿が前提のパスワードや暗証番号と比較するのはおかしい
Re: (スコア:0)
ローソンのポンタ規約によりますと、
電話番号は他人に教えてはいけない情報
秘匿が前提のパスワードや暗証番号と同じ扱い
なのでなにもおかしくないですよ
おかしいとしたら、比較するのがおかしいんじゃなくって比較できてしまう規約がおかしいんです。
Re: (スコア:0)
>電話番号は他人に教えてはいけない情報
それでどうやって電話をかけてきてもらうつもりだったんだろうか…
ローソンで規約を考えたやつは何も考えていなかったんだろうなあ。
きっと携帯電話のアドレス帳交換でしか友人の電話番号を取得したことしかない、
公衆電話やアナログ電話で電話番号メモを見ながら電話を掛けたことのない
ゆとり世代真っ只中の若造に違いない。
Re: (スコア:0)
はい。電話番号を暗証番号として使うことはおかしいです。
「友達から電話番号を聞かれたけど答えられません」という冗談を書けば、
その点を正しく突いたことになります。
ふつう、友達には電話番号は教えるけど(電話番号でない、まっとうな)暗証番号は教えないですから。
でも、「正当な提携サービスから認証目的で暗証番号(電話番号)を聞かれたけど答えられません」というのは、
その点を正しく突いたことにならないでしょ。ということ。
ふつう、正当な提携サービスを利用したい場合、認証目的で(電話番号でない、まっとうな)暗証番号を聞いてくれば、
そのサービスが信用できると思えば教えるのが普通ですから。
レシートの出力仕様の変更って (スコア:0)
それなりに大事のような気がするけど、今のPOSレジって
リモートからアップデートとか出来たりするのだろうか?
Re:レシートの出力仕様の変更って (スコア:2)
東芝テックとかの一般的なPOSならWindows Embddedを使ってますね。POSの横辺りに見慣れたデザインのラベルが貼ってある。
以前は通信回線にISDNを使ったコンビニが多かった。
Re:レシートの出力仕様の変更って (スコア:1)
本社からアップデートが来ます
強制的に適用されるので店での手間はほとんどありません。
Re: (スコア:0)
本社の方から来ました
Re:レシートの出力仕様の変更って (スコア:1)
POSの画面で商品広告流してたりしますしね~。あれってHTMLだったりするのかなw
Re:レシートの出力仕様の変更って (スコア:1)
これって提携している会社の POS も全部出力変更されるのかな?
そもそも、提携している会社のレシートには出力されない仕様?
ホームページ見ると PONTA カードの提携先は48社くらいあるみたいだけど。
たまに、HMV は使うから今度確認してみよう。
もうローソンは利用しない (スコア:0)
これは怖すぎる
一応、逆です。 (スコア:4, すばらしい洞察)
jbeef先生はむしろもっと簡素にしろと仰せです。
http://yro.srad.jp/comments.pl?sid=565414&cid=2134105 [srad.jp]