Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
徳丸本とAmazonと僕  株式会社genesix  くまがい のぶお  @lesamoureuses
自己紹介
前回徳丸さんが来た時にした質問このあとajiyoshiさんに「セキュリティ屋さんはノウハウ提供したりするから色々儲かると思うよ」と教えてもらいました。
本題
ユーザIDの重複防止(徳丸本P.347)◆ 事例1:パスワードが違えば同じIDで登録できるサイトある会員制のサイトを使っていたAさんは自分のパスワードを忘れたので、試しにユーザID をパスワードとして入力するとログインできました。しかし、表示さ...
この時に出した話題
ということで、せっかくだからどういう動きか確認
Amazon
あまり知られていないAmazonの仕組みAmazon.co.jp で複数のアカウントをお持ちの場合、それらのアカウント情報をひとつにまとめることは出来ませんのでご了承ください。なお、同じEメールアドレスでパスワードが違う場合も、別のアカウントと...
ググったら考察している人がいたメールアドレス確認していないとリマインダが使えないというのは、良くあるポリシーだと思う。アカウント登録時にメールアドレスを確認するかどうか、これについては入力したメールアドレスが本人のものか確認出来るまでアカウント...
では、実際にどういう動きをするのか● 前提   ○ 同じメアドでパスワードが違うアカウントがある● これを使ってシミュレーションしたいケース   ○ 僕のメアドを知っている悪意のある人が、僕のメアドで登録     し、パスワード変更しまくって僕...
まずは全然違うパスワードに変更
もちろん成功
もう一つのアカウントと同じパスワードに        変更
「別のパスワードを選択してください」
お、ということは他のアカウント作って悪さできるかも!
じゃあ、もう一つ同じメアドでアカウントを       作ってみよう
「Eメールアドレスはすでに使用されています」という警告
あれ?昔はこんな警告でなかったのにな
警告を無視して新しいアカウント取得しよ         う
更に警告。既存のアカウント無効になるらしい。コワい。
Amazonの仕様が変わってましたこれまで、同じEメールアドレスを使用して、異なるパスワードで複数のアカウントを作成することができましたが、現在は、ひとつのEメールアドレスにつき、ひとつのアカウントのみ作成することができます。アカウントのEメー...
まとめ古すぎる話を持ち出したため、今では全く役に立たないLTになりました。
ここで終わるのもなんなので、
同じメアドでパスワード忘れた場合はどうなるの?        を調べました。
パスワードアシスタントが出ます
クレジットカード番号と郵便番号で本人確認をするよう案内が出ます
両方のアカウント情報を一致させてパスワードアシスタントを使ってみる
メールが来ます
メールのリンク踏むとパスワードリセット
メールのリンク踏むとパスワードリセット
結果何が起こったか?● 2つのアカウントのうち1つしか変わらず   ○ 多分、先にクレジットカード登録した方● 何度やっても同じ結果だった
まとめ2● 同じメアドの複数アカウントを持っている人がパスワード忘れた  場合には、片方のパスワードをリセットしてサインインした後に、  そのクレジットカード情報、もしくは住所の郵便番号を変更した  後、さらにもう一度「パスワードをお忘れですか...
というか、カスタマーサービスに連絡したらいいです。
最後に● 使わなくなったアカウントでも残しておくとこうやってLTのネタに  できるから何があるかわかりませんね ○ スティーブジョブスも「点が後から繋がって線になることがあ   るんだ」みたいなこと言ってました   ■ でも、Amazonに下手...
読後の感想● セキュリティは生き物だ。   ○
ご清聴ありがとうございました
Upcoming SlideShare
Loading in …5
×

徳丸本とAmazonと僕

2,589 views

Published on

徳丸本LT@AJITO

2012/02/27

  • Be the first to comment

  • Be the first to like this

徳丸本とAmazonと僕

  1. 1. 徳丸本とAmazonと僕 株式会社genesix くまがい のぶお @lesamoureuses
  2. 2. 自己紹介
  3. 3. 前回徳丸さんが来た時にした質問このあとajiyoshiさんに「セキュリティ屋さんはノウハウ提供したりするから色々儲かると思うよ」と教えてもらいました。
  4. 4. 本題
  5. 5. ユーザIDの重複防止(徳丸本P.347)◆ 事例1:パスワードが違えば同じIDで登録できるサイトある会員制のサイトを使っていたAさんは自分のパスワードを忘れたので、試しにユーザID をパスワードとして入力するとログインできました。しかし、表示されたプロフィールは別人 のものでした。 調査の結果、このサイトは同じユーザIDでもパスワードが違うと登録できる状態だったことが分かりました。Aさんは、たまたま同じユーザIDで登録していた別人の個人情報を閲覧し てしまったことになります。
  6. 6. この時に出した話題
  7. 7. ということで、せっかくだからどういう動きか確認
  8. 8. Amazon
  9. 9. あまり知られていないAmazonの仕組みAmazon.co.jp で複数のアカウントをお持ちの場合、それらのアカウント情報をひとつにまとめることは出来ませんのでご了承ください。なお、同じEメールアドレスでパスワードが違う場合も、別のアカウントとして登録されています。 複数のアカウントがある場合 http://amzn.to/bPQTus
  10. 10. ググったら考察している人がいたメールアドレス確認していないとリマインダが使えないというのは、良くあるポリシーだと思う。アカウント登録時にメールアドレスを確認するかどうか、これについては入力したメールアドレスが本人のものか確認出来るまでアカウントを登録させない、という「ブロッキング処理」を入れてしまうと、メールは場合によっては届かなかったり、届くのが遅れたりするものだから、ユーザーをいらいらさせてしまう。なのでメールアドレスの本人確認を非同期処理にする。これも良くあるケースではないかと思う。この二つが組み合わさると、 ● 誰かが自分のメールアドレスを間違えて(もしくは故意に)使用した場合 ● 本人が過去に登録したがまだ一回も注文していないうちにパスワードを忘れた場合に、本来のメールアドレスの持ち主がアカウントを作れなくなるという不利益が出てくる。有効なメールアドレスを一つしか持ってない人は、第三者に先に使用されることで、登録できなくなってしまう。 金利0無利息キャッシング – キャッシングできます http://subtech.g.hatena.ne.jp/mala/20100527/1274941947 詳しくは「amazon 別アカウント mala」でググると出ます
  11. 11. では、実際にどういう動きをするのか● 前提 ○ 同じメアドでパスワードが違うアカウントがある● これを使ってシミュレーションしたいケース ○ 僕のメアドを知っている悪意のある人が、僕のメアドで登録 し、パスワード変更しまくって僕のパスワードにヒットさせた ら?
  12. 12. まずは全然違うパスワードに変更
  13. 13. もちろん成功
  14. 14. もう一つのアカウントと同じパスワードに 変更
  15. 15. 「別のパスワードを選択してください」
  16. 16. お、ということは他のアカウント作って悪さできるかも!
  17. 17. じゃあ、もう一つ同じメアドでアカウントを 作ってみよう
  18. 18. 「Eメールアドレスはすでに使用されています」という警告
  19. 19. あれ?昔はこんな警告でなかったのにな
  20. 20. 警告を無視して新しいアカウント取得しよ う
  21. 21. 更に警告。既存のアカウント無効になるらしい。コワい。
  22. 22. Amazonの仕様が変わってましたこれまで、同じEメールアドレスを使用して、異なるパスワードで複数のアカウントを作成することができましたが、現在は、ひとつのEメールアドレスにつき、ひとつのアカウントのみ作成することができます。アカウントのEメールアドレスの確認http://amzn.to/yhQzVM
  23. 23. まとめ古すぎる話を持ち出したため、今では全く役に立たないLTになりました。
  24. 24. ここで終わるのもなんなので、
  25. 25. 同じメアドでパスワード忘れた場合はどうなるの? を調べました。
  26. 26. パスワードアシスタントが出ます
  27. 27. クレジットカード番号と郵便番号で本人確認をするよう案内が出ます
  28. 28. 両方のアカウント情報を一致させてパスワードアシスタントを使ってみる
  29. 29. メールが来ます
  30. 30. メールのリンク踏むとパスワードリセット
  31. 31. メールのリンク踏むとパスワードリセット
  32. 32. 結果何が起こったか?● 2つのアカウントのうち1つしか変わらず ○ 多分、先にクレジットカード登録した方● 何度やっても同じ結果だった
  33. 33. まとめ2● 同じメアドの複数アカウントを持っている人がパスワード忘れた 場合には、片方のパスワードをリセットしてサインインした後に、 そのクレジットカード情報、もしくは住所の郵便番号を変更した 後、さらにもう一度「パスワードをお忘れですか?」をクリックして パスワードをリセットすることで対処しましょう
  34. 34. というか、カスタマーサービスに連絡したらいいです。
  35. 35. 最後に● 使わなくなったアカウントでも残しておくとこうやってLTのネタに できるから何があるかわかりませんね ○ スティーブジョブスも「点が後から繋がって線になることがあ るんだ」みたいなこと言ってました ■ でも、Amazonに下手にアカウント残しておくと「ほしい物リ スト」なんかで個人情報漏れたりするから注意しないとで すね
  36. 36. 読後の感想● セキュリティは生き物だ。 ○
  37. 37. ご清聴ありがとうございました

×