アカウント名:
パスワード:
Googleへ問い合わせてサーバー側の情報を貰う、というのについては、サービス事業者であるGoogle側で出来てしまうことに違和感はない。 しかし、端末側のパスワードロックを解除する仕組みをGoogleが持っている(のなら)、それは問題があると思う。 それは例えていうと、業務上の機密データが格納されているWindows PCであっても、Microsoftであれば(見ようと思えば)自由に見えてしまう、ということと同じことではないのかと。 まして、その手口が漏洩して悪用されないとも限らない。
FBIには悪いが、自分で所持する端末の情報を第三者であれば見ることができるというのは、セキュリティ的に脆弱だと捉えるべきではないか?
# 分解してデータ吸出しまでされれば仕方ないと思えなくもないが、ソフトウェア的に出来てしまうなら、ちょっと目を離した隙に情報が盗まれる危険性があるということになる。 ## Androidはローカルにデータ保存しねーよ、全部クラウド上だ!ということだったらごめんなさい。
このとき一定回数間違えるとメールアドレスおよびパスワードによる解除が必要になるという。
このメールアドレスとパスワードは、gmailのアドレスとパスワード、もっとわかりやすくいえば、その端末に紐付けられているgoogleのアカウントとそのパスワードの事です。つまり端末の認証方法の初期化と解除をネットワーク経由での認証により行うという物です。
この手の事はおおよそのものに実装されていて、androidの場合、その一つがネットワーク経由での認証だった、というだけです。他にも、日本だと、ものによっては販売しているショップで解除することもできますし、リンクされてる記事には、製造元のサムスンに、そのためのコードの提供も要請しているようです。これまでのものでも同様の仕組みはありましたし、他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。そうでなければ怖くて使えませんよ。
他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。 そうでなければ怖くて使えませんよ。
自分の端末からロックされてしまったユーザーが自分でロックを解除する救済措置については必要ですが、 他人の端末からロックされてしまった第三者が勝手にロックを解除する救済措置については必要ない、 と思うのですがいかがでしょうか?
今回FBIが問い合わせているのは後者の手法ですよね? Google側が保持しているデータが、令状なり正規の手続きの上閲覧されるのは普通の行為だと思
PCでもパスワードリセット出来る事が多いですよ。HDDを暗号化するなどしてリセット出来ない様にすることは出来ますが、そこまでやることは少ないと思います。ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、強制執行ならクレジットカードの暗証番号のリセットだって可能だろうし、大家さんはあなたの部屋の鍵を開けるわけで、個人ユースでそこまでガチガチなのは求めないでしょう。それに、そう確実に個人を識別出来るハードがない以上、ハードによる救済措置は自分と他人を区別しませんし、人が介在するなら司法などにより簡単に覆ります。
そもそも、そこまで守りたいデータがあるなら、暗号化なりなんなりそれぞれが必要な対処をするんじゃないですかね?
ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、
物理的に奪われて手間隙かければ取り出せてしまう、というのはそれはそれで仕方ないとは思うんですよね。 そこまでいくともう物理的なセキュリティの話なので。
あくまでOSレイヤーのセキュリティの話として。 もし「OSの認証機構を迂回する仕組みが用意されており」「それをGoogleだけが知っている」とすれば、それはOSとして大きな問題点ではないでしょうか? (例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限
# http://ritardando.ddo.jp/~meno/index.php?e=44 [ritardando.ddo.jp]# EEPROMをはがして取り替えるという方法があるとか…
> (例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限の無いファイルを見れてしまうようなもの。)
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。
Android端末において警戒すべきは、カフェの机に置いたままちょっとトイレに・・・というようなシチュエーションなので、 入退室が管理されたサーバールームに置かれておりコンソールにアクセスできるのは特定の人だけ、という使い方が多いUnix系OSと同レベルのセキュリティでOKとはいえません。 # 世の中にはノートPCにUnix系OS入れて持ち歩く人も居るだろうけど。
「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
確かに、例えとしてはちょっと不適切でしたね。 「Googleだけが知っている」だと、もっとバックドア的なもののイメージです。
端末のロックパターンを忘れた場合は、端末に登録されているGoogleアカウントのIDとパスワードでソレをリセットすることが出来ます。なのでアカウントのパスワードを再設定すれば、後は端末にアクセスし放題というわけ。
「FBIがGoogleにパスワードを教えるよう要求したって、どこをどう読んだ?」って、どこをどう読んだ?
FBIが押収した犯罪容疑者のAndroidから情報を抜き出すためアンロックしようと試みたものの、失敗に終わったそうだ。そのため、Google側に必要な情報を提出するよう依頼
だから、パスワードが無くても第三者がロックをリセットするなりして情報を抜き出す方法が無いか問い合わせたわけでしょ? で、『(のなら)』というのは、タレコミ文や元記事にはGoogleがどう回答したかは書いていない・・・Googleがそうした仕組みを用意しているか判らない、のだからもしあったら問題だ、という話をしているんじゃないか。 わざわざそうした事実があればと断った書き方をしたのに、事実を無理やり合わせてミスリードしようとしている、って何でそんなに疑心暗鬼?
いかがなものかっても、利用者が困った時のロック解除法すら封じたら、それはそれで困るでしょう?それをセキュリティの問題にするのは筋違いです。契約上はgoogle自身でも読めないあなた宛のメールを、警察は開示要求するんですから。
別ACだけどその気になればGoogleは全てのロックを一瞬で解除できるってのはやっぱり気持ち悪い。開示要求されたら開示できるってのも気持ち悪い。とはいえ> それはそれで困るでしょう?それはそれで困るんだよな。
大家さんが部屋の鍵を開けるのと別に差は無いと思うんだが。警察が端末を持ち込んでであれば、通常の家宅捜査と変わらん。リモートで何時でもって話じゃ無ければ、むしろ出来ない方がトラブルシュートが出来ないでマズイだろ。マーケットから入れたロックアプリのバグで終わり、って可能性すら出ちゃうから。まあ、せめてキャリアのショップで身分証明を出して、って手順は必要でしょうが。
それを言ったら、警察が電話会社に法律に基づいて開示要求をすれば通話記録なり、メールの中身なり何でも見れますよ。そして、たいていの規約や約款には必ず「第三者への開示は行わない」としながらも例外として「警察や裁判所で正式な手続きがあった場合に情報を開示します。」と明記されています。そもそも、会社には犯罪捜査に協力する社会的責任がありますから、それを拒むわけにもいきませんしね。
それに、利用者が困ったときのロック解除というのは、多くのサイトで導入されているIDやパスワードの再発行と同じですから、身分確認さえしっかりしていれば困ることはないと思いますが。
さすがに被害妄想が強すぎますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
第三者が端末側のロックを解除できるのはいかがなものか (スコア:0)
Googleへ問い合わせてサーバー側の情報を貰う、というのについては、サービス事業者であるGoogle側で出来てしまうことに違和感はない。
しかし、端末側のパスワードロックを解除する仕組みをGoogleが持っている(のなら)、それは問題があると思う。
それは例えていうと、業務上の機密データが格納されているWindows PCであっても、Microsoftであれば(見ようと思えば)自由に見えてしまう、ということと同じことではないのかと。
まして、その手口が漏洩して悪用されないとも限らない。
FBIには悪いが、自分で所持する端末の情報を第三者であれば見ることができるというのは、セキュリティ的に脆弱だと捉えるべきではないか?
# 分解してデータ吸出しまでされれば仕方ないと思えなくもないが、ソフトウェア的に出来てしまうなら、ちょっと目を離した隙に情報が盗まれる危険性があるということになる。
## Androidはローカルにデータ保存しねーよ、全部クラウド上だ!ということだったらごめんなさい。
Re:第三者が端末側のロックを解除できるのはいかがなものか (スコア:2, 参考になる)
このとき一定回数間違えるとメールアドレスおよびパスワードによる解除が必要になるという。
このメールアドレスとパスワードは、gmailのアドレスとパスワード、もっとわかりやすくいえば、その端末に紐付けられているgoogleのアカウントとそのパスワードの事です。
つまり端末の認証方法の初期化と解除をネットワーク経由での認証により行うという物です。
この手の事はおおよそのものに実装されていて、androidの場合、その一つがネットワーク経由での認証だった、というだけです。
他にも、日本だと、ものによっては販売しているショップで解除することもできますし、リンクされてる記事には、製造元のサムスンに、そのためのコードの提供も要請しているようです。
これまでのものでも同様の仕組みはありましたし、他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。
そうでなければ怖くて使えませんよ。
Re: (スコア:0)
他の分野でも、よっぽどクリティカルでなければ、何らかの救済措置が用意されているのが通例です。
そうでなければ怖くて使えませんよ。
自分の端末からロックされてしまったユーザーが自分でロックを解除する救済措置については必要ですが、
他人の端末からロックされてしまった第三者が勝手にロックを解除する救済措置については必要ない、
と思うのですがいかがでしょうか?
今回FBIが問い合わせているのは後者の手法ですよね?
Google側が保持しているデータが、令状なり正規の手続きの上閲覧されるのは普通の行為だと思
Re: (スコア:0)
PCでもパスワードリセット出来る事が多いですよ。
HDDを暗号化するなどしてリセット出来ない様にすることは出来ますが、そこまでやることは少ないと思います。
ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、
強制執行ならクレジットカードの暗証番号のリセットだって可能だろうし、大家さんはあなたの部屋の鍵を開けるわけで、
個人ユースでそこまでガチガチなのは求めないでしょう。
それに、そう確実に個人を識別出来るハードがない以上、ハードによる救済措置は自分と他人を区別しませんし、
人が介在するなら司法などにより簡単に覆ります。
そもそも、そこまで守りたいデータがあるなら、暗号化なりなんなりそれぞれが必要な対処をするんじゃないですかね?
OSレイヤーのセキュリティの話として (スコア:0)
ハードが手元にある時点でメモリカードとかHDDとかは取り出し可能ですし、
物理的に奪われて手間隙かければ取り出せてしまう、というのはそれはそれで仕方ないとは思うんですよね。
そこまでいくともう物理的なセキュリティの話なので。
あくまでOSレイヤーのセキュリティの話として。
もし「OSの認証機構を迂回する仕組みが用意されており」「それをGoogleだけが知っている」とすれば、それはOSとして大きな問題点ではないでしょうか?
(例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限
Re:OSレイヤーのセキュリティの話として (スコア:2)
# http://ritardando.ddo.jp/~meno/index.php?e=44 [ritardando.ddo.jp]
# EEPROMをはがして取り替えるという方法があるとか…
Re: (スコア:0)
> (例えていうなら、セーフモードで起動したら、管理者パスワードを知らないユーザーでも権限の無いファイルを見れてしまうようなもの。)
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。
「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
Re: (スコア:0)
Unix系のシングルユーザーモードってまさにそれじゃなかったでしたっけ。
Android端末において警戒すべきは、カフェの机に置いたままちょっとトイレに・・・というようなシチュエーションなので、
入退室が管理されたサーバールームに置かれておりコンソールにアクセスできるのは特定の人だけ、という使い方が多いUnix系OSと同レベルのセキュリティでOKとはいえません。
# 世の中にはノートPCにUnix系OS入れて持ち歩く人も居るだろうけど。
「Googleだけが知っている」わけじゃないので例えがおかしいんじゃないかという意味ですが。
確かに、例えとしてはちょっと不適切でしたね。
「Googleだけが知っている」だと、もっとバックドア的なもののイメージです。
Re: (スコア:0)
端末のロックパターンを忘れた場合は、端末に登録されているGoogleアカウントのIDとパスワードでソレをリセットすることが出来ます。
なのでアカウントのパスワードを再設定すれば、後は端末にアクセスし放題というわけ。
Re: (スコア:0)
FBIがGoogleにパスワードを教えるよう要求したって、どこをどう読んだ?
それとも、『(のなら)』とわざわざ書いたってことは、自分の言いたいことに前提となる事実を無理矢理合わせてミスリードしようとしてる?
Re: (スコア:0)
「FBIがGoogleにパスワードを教えるよう要求したって、どこをどう読んだ?」って、どこをどう読んだ?
だから、パスワードが無くても第三者がロックをリセットするなりして情報を抜き出す方法が無いか問い合わせたわけでしょ?
で、『(のなら)』というのは、タレコミ文や元記事にはGoogleがどう回答したかは書いていない・・・Googleがそうした仕組みを用意しているか判らない、のだからもしあったら問題だ、という話をしているんじゃないか。
わざわざそうした事実があればと断った書き方をしたのに、事実を無理やり合わせてミスリードしようとしている、って何でそんなに疑心暗鬼?
Re: (スコア:0)
いかがなものかっても、
利用者が困った時のロック解除法すら封じたら、
それはそれで困るでしょう?
それをセキュリティの問題にするのは筋違いです。
契約上はgoogle自身でも読めないあなた宛のメールを、警察は開示要求するんですから。
Re: (スコア:0)
別ACだけどその気になればGoogleは全てのロックを一瞬で解除できるってのはやっぱり気持ち悪い。
開示要求されたら開示できるってのも気持ち悪い。とはいえ
> それはそれで困るでしょう?
それはそれで困るんだよな。
Re: (スコア:0)
大家さんが部屋の鍵を開けるのと別に差は無いと思うんだが。
警察が端末を持ち込んでであれば、通常の家宅捜査と変わらん。
リモートで何時でもって話じゃ無ければ、むしろ出来ない方がトラブルシュートが出来ないでマズイだろ。
マーケットから入れたロックアプリのバグで終わり、って可能性すら出ちゃうから。
まあ、せめてキャリアのショップで身分証明を出して、って手順は必要でしょうが。
Re: (スコア:0)
それを言ったら、警察が電話会社に法律に基づいて開示要求をすれば通話記録なり、メールの中身なり何でも見れますよ。
そして、たいていの規約や約款には必ず「第三者への開示は行わない」としながらも例外として「警察や裁判所で正式な手続きがあった場合に情報を開示します。」と明記されています。
そもそも、会社には犯罪捜査に協力する社会的責任がありますから、それを拒むわけにもいきませんしね。
それに、利用者が困ったときのロック解除というのは、多くのサイトで導入されているIDやパスワードの再発行と同じですから、身分確認さえしっかりしていれば困ることはないと思いますが。
Re: (スコア:0)
さすがに被害妄想が強すぎますね。