パスワードを忘れた? アカウント作成
11122529 story
プライバシ

「1行のJavaScriptコードを追加するだけで二要素認証を実現」というサービス、別の意味で注目される 17

ストーリー by hylom
誰か途中で止めなかったのだろうか 部門より
あるAnonymous Coward 曰く、

「実践クラウド」なる企業が、「日本初となるJavascriptコードを一行貼るだけで電話認証の仕組みが導入出来る」というサービス「JISSENスマートオース」を発表したのだが、実装の微妙さとWebサイトにある文言で別の意味で注目を集めている。

二要素認証はGoogleなどが採用している認証方式で、Webブラウザ上でのログイン時に、携帯電話にSMSなどを送信することで認証を行うもの。仕組み上携帯電話番号の登録が必要なのだが、スマートオースのWebサイトには当初「取得した電話番号を使ってSMS等によるCRM戦略も展開可能になります」との文言があり、これは個人情報の目的外使用に相当するという指摘が寄せられた模様。そのためWebサイトは早々に修正され、お詫びと訂正が掲載されている。

これ以外にもツッコミどころは多く、クライアント側で動作するJavaScriptで認証を行うということでクライアント側の操作で認証を突破できる可能性が指摘されているほか、一時公開されていたデモにおけるセキュリティ面での実装のまずさなどもTwitterで指摘されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2014年06月20日 19時03分 (#2624896) 日記

    末端利用者から見える部分の動きが怪しさ満点に近いだけで、裏側がどうなっているかまでは分からないっていう感じ。

  • by Anonymous Coward on 2014年06月20日 18時16分 (#2624865)

    新規性や技術への自信よりも売る気満々な文句といい、セキュリティソリューションなのにこう脇が甘い点といい。
    これ、技術者の発想じゃないなあ...企画発案者はきっと根っからの商売人だ。

    • by Anonymous Coward
      会社のメンバーが3人なんですが、経歴を見てもこういったテクニカルな技術を構築できるようには見えません。
      パイプドビッツと言う会社はAKB総選挙のシステム担当みたいですから、Yoichi Tomi と言う人が発案者では?
      • by Anonymous Coward

        AKB総選挙に耐えたなら、それなりにミドルやインフラには強そうだけど、セキュリティは別物だしね。

    • by Anonymous Coward

      Amazonガチャみたいな学生ベンチャーの匂いが。

  • ログインページでJavascript実行してキーを取得

    システムからAPIで問合わせ?

    • by Anonymous Coward

      それだと問い合わせのコードも必要になってしまう。
      このサービスにパスワード預ける形にしたらいいんじゃない?

    • by Anonymous Coward

      javascriptでこのサービスのsessionつくって認証キー設定して、二段階認証でキー渡して入力してもらってjsonpで確認して、全部OKで始めて利用サイトのformをsubmitする、とか?

    • by Anonymous Coward

      関係ないけど 1行って意味あるのかな。
      10,000文字あっても改行がなければ一行か?

      • by Anonymous Coward

        「貼るだけで」と書いてあるので。 script src …と1行貼り付けて、
        中身に、大量のdocument.writeがあっても貼るのは1行だと思うよ。

    • by Anonymous Coward

      ここにあった記事によると外部スクリプト読み込みのscript要素1行でしたが、「2014年6月18日、掲載しましたブログの記事「Jimdoのお問い合わせフォームにJISSENスマートオース(本人認証)を入れてみました!」は、実践クラウド社のサービスに不備が発覚したため、削除いたしました。」とかいって消されましたね。

      http://blog.twilio.kddi-web.com/2014/06/17/jimdo [kddi-web.com]のお問い合わせフォームにスマートオース-本人認証-を入れてみました/

  • by Anonymous Coward on 2014年06月20日 18時41分 (#2624883)

    セキュアなサービスになるといいですね。

  • by Anonymous Coward on 2014年06月20日 18時34分 (#2624874)

    資本金:500,000円
    従業員数:1名

    お察し下さい。

  • by Anonymous Coward on 2014年06月20日 18時55分 (#2624894)

    >【携帯電話を用いた二要素認証活用事例】
    > (4) ソーシャルメディア
    >  例えばクチコミ系サイトの場合、認証強度を高めることで不正な評価向上を目的とした業者等を排除することが出来ます。また、有名人になりすまして悪名を広める等の被害を防ぐうえでも、本人認証の強化は必須となっています。

    勝手に有名人の名をかたるのは防げないよ・・・。

    逆に言うと、「既に有名人の電話番号は入手済みだから登録時にチェックできます」とでも主張してるようにも見えますね。実に、いまどきのクラウドを実践してるって感じです。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...