«前の日記(2007-07-21 (土)) 最新 次の日記(2007-07-23 (月))»  

まちゅダイアリー


2007-07-22 (日)

異なるドメインでパスワード情報を共有しない方がいい

ニコニコブックマークがフィッシングサイトかどうか判別できないで書いたけど、異なるドメインなのに同じ ID とパスワードを入力するのは危険。

  • ニコニコ動画 (nicovideo.jp) とニコニコブックマーク (nicob.jp)
  • 日本のはてな (hatena.ne.jp) と海外のはてな (hatena.com)
  • Mixi (mixi.jp) とミクシーラボ (mixilab.com)

両者が同じサービス提供者であることを裏をとってからならいいけど、反射的に ID とパスワードを入れると、取り返しの付かないことになる。

特に、ミクシーラボは Mixi とは関係ない人が運営している。 普段から異なるドメインに対して同じ ID とパスワードを入力していると、何も危険性を考えずにここにもパスワードを渡してしまう可能性がある。 でも、このサービスを使う上で、パスワードを渡す必然性は薄い。 ミクシーラボのトップページには以下のように書かれている。

右のボックスにmixiに登録しているメールアドレスをパスワードを入れて ログインすると、あなたの代わりに、ロボットがページを見に行きます!つまり、あなたの足跡は残らないのです。

現在見ることができるのは・あなたのマイミクの最新日記・あなたのページに足跡をつけた人の追跡・あなたのマイミクの日記一覧・友人検索と、その人のホームです。

「足跡をつけた人の追跡」以外ではパスワードは要らないはず。「パスワードを第三者に渡す」という危険性と天秤にかけるには、ちょっとアンバランスかもしれない。ほとんどの機能はパスワードを渡さずに利用できる「ミクシマイザー ライト」で十分なんだからさ。

あ、あと、ちょっとした疑問。

  • プライバシポリシーには、「mixilaboは、個人情報の入手を適法かつ公正な手段によって行い、ユーザーの意思に 反する不正な方法により入手いたしません。」と書かれている。
  • トップページには、「mixilaboでID、パスワードを取得・保存することはありません。」と書かれている。

仮に以下の行為をやった場合はプライバシーポリシー上OKなのかNGなのか、どっちだろう? (念のために書いておくと、ミクシーラボが以下の行為をやっていると言っている訳じゃない。ユーザとして危険性があるとは思うけど)

  1. ユーザが入力したID、パスワードを使ってmixiにログインする。
  2. プロフィールページに遷移して個人情報(氏名、住所、年齢、職業、趣味、趣向、日記の内容)を取得する。IDとパスワードは記録しない。
  3. 取得した個人情報を第三者に販売する。
Tags: Security