スポンサード リンク
Yahoo!がOpenIDの発行を開始したことで、OpenIDに対応するサイトが増えてくるのは確実なんだろう。
最近はOpenIDや認証APIを利用するサービスが増えてきていて、それらのサイトではYahoo!やlivedoorやはてなのIDでログインすることができる。
ログインする際にはID発行元のサイトのログイン画面が表示されるようになっているので、悪い人はそこに目をつけてフィッシング詐欺のサイトを立ち上げるんじゃないかと思う。
フィッシングの流れは、OpenIDとフィッシング - Yet Another Hackadelicに紹介されている。
1. ユーザーは悪意のあるRP(Consumer)サイトに行くとOpenIDっぽぃログインフォームがある
2. ユーザーはそのログインフォームに自分のIdentifier URLを入力
3. 悪意のあるRPはユーザーのOP(IdP)に良く似たFake OPにリダイレクトさせる
4. Fake OPはユーザーにユーザー名とパスワードを求める
5. ユーザーはいつものOPとの違いに気づかずパスワード入れちゃう
6. Fake OPはユーザーのアカウント情報を入手出来る
おそらくフィッシングに引っかかってしまうようなユーザは、そもそもOpenIDを理解できないからOpenIDを使う可能性はまだ少ないだろう。
しかし、今後ますます多くのサイトでOpenIDや認証APIが使われるようになると、Yahoo!以外のサイトでYahoo!のログイン画面が表示されることが当たり前となり、フィッシングしやすい環境が整ってくることになる。
ユーザが心がけておかなければいけないことは何だろう。「正体不明なサイトにはログインしない」ということか。サイトを提供する側も確実に身元を明かしてユーザに信頼されなければならないだろう。
Yahoo!は以前からフィッシング対策としてログイン画面に「ログインシール」を設定するように勧めているが、一体どれくらいのユーザが危険を認識して設定しているのだろうか。
そういう危険性はあるけれど、OpenIDや認証APIが増えるのはサービスを作る側としてはありがたいことなので、ユーザに対しては危険性と利便性の両方をアピールしていかないといけないと思う。
スポンサード リンク
- mixiのOpenIDとドコモのiモードID
- Skitch - 画面キャプチャ、アップロード、URLコピペが劇的に楽になるMac用ソフト
- mixiに潜むOpenID認証のパラメータ
- 梅酒.inがOpenID(mixi, Yahoo!, はてな, livedoor, BIGLOBE)でログインできるようになりました
- PHP OpenID Library を使ってみた
トラックバック
このエントリーのトラックバックURL:
前のエントリー: « SoftBank携帯向けウェブコンテンツ開発ガイドの概要編を読んでみた
次のエントリー: SoftBank携帯向けウェブコンテンツ開発ガイドのHTTP編(1) »
コピペにご利用ください。
タイトル:URL:
リンク用HTMLタグ:
(共同運営)
(共同運営)
コメント
その為のホワイトリストかと思ったけど,ユーザがパスワード打った時点で終わりか・・・
投稿者: Anonymous | 2008年11月03日 03:11