アカウント名:
パスワード:
ログインシールは良いアイデアだなと思って私も使ってるんですけど、 たまに設定が消えちゃいません?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
Yahoo! JAPAN IDの不正利用に関する報道について (スコア:5, 参考になる)
9/6(土)に、「Yahoo! JAPAN IDの不正利用に関する報道について」というタイトルの発表があり、
オークションのトップページにリンクが貼ってありました。
http://auctions.yahoo.co.jp/phtml/auc/jp/notice/20080906.html [yahoo.co.jp]
とりあえず気になる人はログイン履歴 [yahoo.co.jp]を確認して、身に覚えのないログインの要求がないかどうか、
確認してみてはいかがでしょうか。過去のログイン履歴を60件まで確認可能です。
I'm out of my mind, but feel free to leave a comment.
Re:Yahoo! JAPAN IDの不正利用に関する報道について (スコア:5, すばらしい洞察)
> 確認してみてはいかがでしょうか。過去のログイン履歴を60件まで確認可能です。
うわー。サイトの正当性確認しようとしないで無条件にIDとパスワード入れて確認しようとしちゃったよ。
これってフィッシング詐欺だったら完全にひっかかってるよね。気をつけねば。
#もちろんrxk14007さんが詐欺してるって意味ではありません(ねんのため)
#リンク先はyahooトップページから「ログイン履歴を確認」でたどれる場所です。
AVG anti-virus data base out of date
Re:Yahoo! JAPAN IDの不正利用に関する報道について (スコア:3, おもしろおかしい)
エロ絵が出てきたので、間違いない(?)と思う
このログインシールって技術、ほかでは見たことないのですが
どの程度効果があるもんなんでしょうかね
Re:Yahoo! JAPAN IDの不正利用に関する報道について (スコア:1)
ログインシールは良いアイデアだなと思って私も使ってるんですけど、 たまに設定が消えちゃいません?
Re:Yahoo! JAPAN IDの不正利用に関する報道について (スコア:2, すばらしい洞察)
> #リンク先はyahooトップページから「ログイン履歴を確認」でたどれる場所です。
たとえトップページからたどれる場所でも、
証明書などで正当性をチェックできなかったり、
SSLで暗号化されてなければ注意すべきだと思うんですよ。
Re: (スコア:0)
実際に存在するかどうかは試していないから知らないし、この事例に限った話では無くって。
https://login.yahoo.co.jp/config/login_verify2?.src=www&.done=https://lh.login.yahoo.co.jp/%3F.done%3Dhttp%3A%2F%2Fauctions.yahoo.co.jp%2Fjp%2F
この場合https→httpsだから、httpの偽サイトに書き換えても飛ぶ前に警告が出ると思うけど。
参考:ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない [takagi-hiromitsu.jp]
ログイン履歴のチェックで (スコア:1)
特にIPアドレスがそのまま数字で書かれていてもねぇ(^^;
どう見ればいいのか説明を頼まれたものの、そこから親御さんが定期的にメールチェックしてたことがばれて気まずくなったという知人も。。。。(注:その方はとっくに成人)
Re:Yahoo! JAPAN IDの不正利用に関する報道について (スコア:2, 興味深い)
携帯電話を使っておらず普通の計算機からしかログインしていないのですが、IPv4アドレスと時刻が表示されますね。
これは一般的なヤフオクユーザが理解できるのでしょうか?
dig(or nslookup)やwhoisやgeoiplookupを使用して自分が使っているISPかどうか、在住国以外からの接続があるかどうかを確認するということは、少々知識がないと難しいような...
Re:Yahoo! JAPAN IDの不正利用に関する報道について (スコア:1, すばらしい洞察)
捨てID取って、出品者アラートに本IDを登録しておく事だな
ヤフオクぐらいの規模になると (スコア:3, 参考になる)
チョコっと利用してそのまま休眠アカウントになっているものもたくさんありそうな気がする。
今後訴訟等に発展する可能性がありそうですが、偽ブランド品とか出品禁止っぽいのものでも
杓子定規に手数料料請求ってなんなんだろうな。
杓子定規にやるならいっそ出品者と落札者のアカウント停止ぐらいやってくれればGJと思うけど。
#ネット通販はよく利用するが、ネットオークションはリスクとメリットが割に合わないと思うので利用しない主義
#オークションが生まれる以前のネット個人間取引はよくやってたけど、あれは信頼を築いてからだったからね
Re:ヤフオクぐらいの規模になると (スコア:1)
ヤフオクでは購入しかしたことが無い場合でも、出品されてないか注意深く確認しなきゃ駄目なのかな
ちょっと確認したかぎりは問題なさそうでありましたが……
−−−−−
札幌でなかなか手に入らないジャンクな品物を落札していたのでID
今は業者出品すぎる……
Re:ヤフオクぐらいの規模になると (スコア:2, 参考になる)
出品すると確認メールが届きます。
Re:ヤフオクぐらいの規模になると (スコア:4, すばらしい洞察)
>出品すると確認メールが届きます。
YOMIURI ONLINE の記事によれば、それらのメールが届くような間はメールアドレスが変更されていたようです。出品時と終了時にメールアドレスが変更されていれば、「出品者への質問」や「違反商品の申告」でもなければ、知らぬうちに出品されてそれが終了いることには、メールでは気づかないでしょう。
「注意深く確認」するには、マイオークションの「出品中」や「終了分」を見るべきかな。
メールアドレスが一時だけ変更されていた理由(憶測) (スコア:2, 興味深い)
何故、わざわざ一時だけ変更して、(おそらく)それ以外は元に戻していたか?と疑問に思いました。
たぶん、以下のような理由なのでしょう。
・フィッシングでIDとパスワードを取得するなら、その利用者はそれなりにアクティブな利用者である必要がある。(でないと、IDとパスワードを打ち込む機会がない)
・アクティブな利用者であれば、身に覚えのない「Yahoo!オークションにご出品いただき、ありがとうございました。」のメールが届けば、犯行に気づく。
・アクティブな利用者であれば、届くはずのメールが届かなければ、なにかおかしいと気づく。
アクティブな利用者でも落札しかしない利用者であれば、知らぬうちに出品されていても、それにしばらく気づかないでしょう。落札しかしないのであれば、「マイオークション」の「出品中」「出品終了分」は見ないでしょうから。
また、落札しかしないのか・落札も出品もするのか・出品しかしないのかは、「評価」を見ればほぼ一目瞭然です。また、IDとパスワードがあるのなら、「出品中」「出品終了分」だって見れます。犯人の立場で考えれば、「出品での評価」が0の利用者が狙い目でしょうね。
#(たぶん)フィッシングで取得したID・パスワードを使い潰すつもりならそんな面倒なことをする必要はないはず。
#それぐらいの手間は掛けて大切に使う必要があるぐらいには、そんなID・パスワードは貴重なのかも。
Re:ヤフオクぐらいの規模になると (スコア:2, すばらしい洞察)
> 出品の際にヤフーから出品者に届く確認のメールも、この時間だけ別のアドレスに届くように変更されていたことも分かった。
だそうなので、確認メールは無意味でしたね。
確認メールの通知先を変更すると、元のアドレスに認証メールが届いて、指定のURLをクリックすると完了、
とかないのでしょうか。
元のアドレスがあぼーんしてしまったら、郵送による確認書類の送付と返信を義務つけるとかすれば、
今回のような国外からの不正手続きは防止できたのかも、と。
Re:ヤフオクぐらいの規模になると (スコア:1)
今は???最近ラフになったからなあ。。。
Re:ヤフオクぐらいの規模になると (スコア:1, すばらしい洞察)
Re:ヤフオクぐらいの規模になると (スコア:1)
P.S.
>今は業者出品すぎる……
条件で絞り込む・出品者(一般)で、どこでもWeb通販で買えそうな新品をうじゃうじゃ出品している業者の出品はだいぶ減ります。
それでも非ストアでうじゃうじゃ出品しているのはどうにもならないのと、面白いジャンクを扱うストアのも見えなくなるのは難点ですが。
Re: (スコア:0)
出品には住所確認やウォレット登録が必要なので、某掲示板ではYBBユーザ狙い撃ちの可能性が高いとの事です
最近のYBBユーザID自体はとても規則性が有る物が強制割り当てのようで、その事も問題視されています
(初期パスワードにも規則性があったリして?!)
PWの間違いは何度まで (スコア:2, 参考になる)
現在ではどうなっているかお知りの方はいますでしょうか?
Re:PWの間違いは何度まで (スコア:2, すばらしい洞察)
たとえばオークションで競り合っているときに, 競合者のアカウントをわざとロックさせるなんてことが
可能になるので難しいのかなと思いました.
最近は次点落札詐欺の対策でオークション主しか入札者アカウントは見えないようになっているので,
ロックも可能だと思われますが.
Re: (スコア:0)
> ロックも可能だと思われますが.
入札者からも他の入札者見えますよね?
久しぶりに利用して「おっ、アカウントが一部マスクされるようになったか」
と思ったら、他の入札者からは丸見えと気がついて脱力。
なので、アカウントロックは難しいと思います。
ただ、ロックやIPフィルタはオプションでつけて欲しいですね。
Re: (スコア:0)
犯人は、使えさえすれば誰のIDでも良いのだから
PWを固定にして、毎回IDを替えてアタックする
そうすれば、3回でロックする対策なんか関係ない
Re:PWの間違いは何度まで (スコア:1)
この場合、PWが英数字大小を含む58種の場合で6桁ある時には
どのくらいの人数がヒットするのでしょうか?
ヤフオクの会員数が700万人として、総当りした場合
何人くらいでしょうか?
700万÷(58*58*58*58*58*58)でよろしいでしょうか?
詳しい方よろしくお願いします。
Re: (スコア:0)
そういう網羅的な計算は意味が無い。文字列としてのヒット率バリューみたいな視点で
考えなきゃ駄目よ。文字列といっても意味のあるものと無いものじゃ、その手の
バリューは大きく異なるのだから。
Re:自分は被害者になりたくない (スコア:1)
ヤフオクのURLスキームがhttpなんだけど (スコア:1, 参考になる)
この機会に疑問に思ってたので聞いてみたい。
ヤフオク関連のぺージのURLスキームがhttpsじゃなくてhttpなんだけど、これって安全なの?
HTTPSが「WebブラウザとWebサーバの間の通信を暗号化して、盗聴を防いでいるに過ぎない」 [wikipedia.org]ってことぐらいは
知っているけど、ヤフオク内の取引ナビ(出品者・落札者同士で連絡するためのメッセージボード)で
住所や電話番号を送っているので、若干不安がある。
教えて、偉い人。
Re:ヤフオクのURLスキームがhttpなんだけど (スコア:2, 興味深い)
「WebブラウザとWebサーバの間の通信を暗号化して、盗聴を防いでいるに過ぎない」
ってリンク先にも書いてありますが、一応、証明書を用いているわけで、通信相手のサーバが
正当な物であるかのある程度の判断もする事が出来ます。って/.Jでも過去のストーリーで何度も
出てるわけですが・・・オレオレ証明書の問題とか。
で、Yahooが全面的にSSLにしないのはサーバインフラの負荷を鑑みて、でしょうね。
SSLは通常のHTTPよりも処理が重いので・・・
一昔前はサーバのネットワーク上位に設置する"SSLアクセラレータ"なるアプライアンスまで存在してましたよ。
(今も有るのかな?)
リソースが足りないから/コストが掛かるから、という理由で利用者の安全性を軽視して良い事には
ならないとは思いますけど、あの会社の姿勢と経済原則から照らして、不思議ではないでしょう。
ちなみに、HTTPで住所や電話番号を送信するのは普通に考えて危険です。
もしXSS脆弱性があり、それを利用したフィッシングサイトに誘導された場合なんかは一発です。
(大抵のブラウザはSSL使用サイトからならサイト外に飛んだことをユーザに警告してくれる。)
そうでなく、正当なサーバとの通信を行っている、という前提であれば、通常の平文メールに住所や
電話番号を書くのと同程度の危険性と思って良いと思います。つまり普通に危険です。
特に、出所不明もしくは悪意のあるProxyを使っていた場合は完全にクロです。
勝手にProxyを設定するマルウェアなんかもあるかもしれませんから、定期的ブラウザのProxy設定を
チェックしたほうがいいかもしれませんね。
Re: (スコア:0)
ある程度、ていうのはどの程度ですか?
URL に対する本物のサーバであることが証明されるのは知っていますし、
証明書を参照すれば認証局に届け出たサーバ管理者の名前が書かれているのも分かります。
でもサイトの名前と全然違う名前だったり、
あるいはググって見つけた聞いたことのない名前のサイトだったりした場合、
そのサーバが正当な物であるかどうかを、
くれぐれも「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]などではないことを、
どうやったらどの程度
Re:ヤフオクのURLスキームがhttpなんだけど (スコア:1)
一般論的な部分は、
こちら [verisign.co.jp]をご覧下さい。
しかし、残念ながら、”「本物の」サーバ証明書を持つフィッシングサイト”などと言う物
に対抗する事は、通常のSSLの機能だけでは無理です。
もちろん、サーバ証明書の発行元を目視で確認後、その発行元の情報を調査し、かつ、既
にその発行方法に問題がある事が公表されている、と言った条件が揃えば、どうもあやし
い、ぐらいの見当は付くかもしれませんが、いちいちそんなことを調べるほど慎重な人な
ど見た事がありませんから、上記ケースでは、事実上SSLの認証機能は無力化されていると
見て良いと思います。
また、上記の件とは別件で、アプリケーション署名用の証明書ですが、2001年にVerisign
が誤って「Microsoft Corporation」の署名が入った証明書を個人に発行してしまった事例が
あります。
VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性 (MS01-017) [microsoft.com]
この例などは、MicrosoftまたはVerisignからの公表やパッチの提供が無ければ、目視で
あっても厳密に技術的な意味であっても正規の証明書とまったく区別がつかないでしょう。
SSLのサーバ証明書で証明できるのは、そのサーバ証明書自体が、ブラウザに登録された
ルート証明書の発行元となっている認証局で認証されたか、または、ルート証明書発行
元の認証局に認証された中間認証局が認証した物であるという事です。
じゃあ、その認証局は何を見て認証しているんだ?と言う話になると、それは個別に調べ
るか問い合わせるしか無い、と言う話になってしまうので、”どのような条件で発行され
たか”は不明である、と言えます。
この暗号の仕組み自体が破られ、”技術的に偽造された証明書”が使用された、という例
は聞いた事がありませんので、上記の部分に関してだけは、今のところ確かだと思って良
いんじゃないでしょうか。
また、Flashで作られたログインフォームのSSLに関してですが、私はFlashに明るくないの
でちょろっと調べてみたところ、
1、Flashでログインフォームを実装した場合、サーバとの通信はActionScriptで行う。
2、ActionScriptは、SSLでの通信も素のHTTPでの通信でも、どちらでも指定できる。
3、ActionScriptがどちらのメソッドを利用して通信しているかは、Plugin内のみで決定さ
れ、ブラウザには表示されない。
4、ただし、ActionScriptでSSLを指定しているにも関わらず、サーバ証明書に不備があった
場合、警告メッセージの表示ではなく、単に動作しないかエラー終了となる。
5、ブラウザのSSL表示機能は、単にFlashファイル(*.swf)がSSLで転送されていれば鍵マー
クの表示がなされ、通常のHTTPでswfを転送すれば、鍵マークは表示されない。
(か、開いたまま)
これは、実際にID/PASSがどちらのメソッドで転送されているかとはまったく関係が無い。
と言う事のようです。つまり、そのログインフォームの作者の意思次第であり、それをサイト
のユーザが知るにはパケットキャプチャなどで調査するしか無いようです。
私なら、Flashでログイン画面を実装したサイトの利用は単に見合わせます。
(私自身元々Flashアレルギー気味ですが)
と、言う感じなんですが、合格点はいただけますでしょうか?>親コメントAC様
Re: (スコア:0)
そういうもんです。問題が起きなければ対処することはないでしょう。
もっとも、以前はメールでのやり取りで同様の情報を送りうけしていたわけで、
それと比べると大差ありません。
Re: (スコア:0)
ヤフオクかぁ (スコア:1, 興味深い)
前にヤフオクで落札手数料が無料なキャンペーンをやってたので、その期間だけ利用してみた。
ところが手数料を請求された。
期間を勘違いしたかと何度もチェックしたが間違っておらず、同期間内で落札した他の物に対しては請求されていなかった。
納得できないのでメールで問い合わせたが、問題に対する回答はなく、ただただ請求するのみ。
そうこうしているうちにIDが使えなくなり、過去の取引履歴の参照すらできなくなって、具体的な話もできなくなった。まぁこれは早いうちに控えなかったこちらもボケだが。
そしてヤフーはこの「債権」を売りましたとさ。
で、ここまでは正直どうでもいいやと思っていたんだが、偶然、職場の同僚が同じ経験をしてるのを知った時には、さすがになんだかなと思ったよ。
Re: (スコア:0)
/問題に対する回答はなく、
/ただただ請求するのみ。
/そうこうしているうちにIDが使えなくなり、
/過去の取引履歴の参照すらできなくなって、
/具体的な話もできなくなった。
あのキャンペーンでこんな事が起こっていたのですね。 あの時、私は入札していませんですが、 この事象って、各個人のみで終わってしまう可能性大の話。 ヤフオク運営側と提供サービスの怖さを知った次第です。 情報ありがとう。