Facebookのセキュリティー警告―絶対に他のサイトでFBのパスワードを入力しないように(ただしわれわれは他のサイトのパスワードの入力を要求する)

次の記事

MySpaceのCEOの役得はパリス・ヒルトンとのデート

最近、Facebookのアカウントを乗っ取って、ユーザーの友達を通じて感染を広げるワームが猛威を振るった件について、Facebookは一般的なウェブ上のセキュリティーの注意を公式ブログに掲載したFacebookのセキュリティーの責任者で元FBIのコンピュータ鑑識の専門家、Max Kellyはそのブログ記事で以下のようなアドバイスを行っている。

Facebookではユーザーの皆さんの安全を守るために努力していますが、ユーザーの皆さんも、以下のような点でわれわれが皆さんを守る努力を助けることができます。

* スパム・メッセージや投稿を見かけ次第通報してください。情報が多ければ多いほど、素早く厳しい対応をすることができます。

* Facebookのパスワードを他人に絶対に明かさない。Facebookの社員がユーザーにパスワードを尋ねることは絶対にありません。パスワードは誰にも知られてはなりません。Facebookにログインするよう求められたら、Facebookのウェブサイトの正しいアドレスであることを必ず確認してください。少しでもおかしいと感じたら、直接www.facebook.com からログインしてください。

Facebook以外のサイトで絶対にFacebookのパスワードを入力しないというのは良いアドバイスである。これで多くのユーザーはそうすべきだと知っただろうし、またこれからもそうしていくべきである。ただ問題は、他のサイトのログイン情報となると、Facebook自身がこの原則を尊重しているようには思えないことだ。たとえば、Gmailの連絡相手をインポートしようとすると、FacebookはユーザーにGoogleのユーザー名とパスワードを入力するよう求めてくる。下のスクリーンショットは、Facebook内からGoogle、Hotmail、Yahooのアカウントにアクセスして連絡相手をインポートする機能を示している。

この昨日はFacebookが主張するセキュリティー上のアドバイスに完全に矛盾する。この場合、「Facebookはパスワードを保存しません」という但し書きはあるものの、大きな問題は、あるサイトのログイン情報をそれと別のサイトで直接入力させるような仕組みは悪いデザインだし、事実きわめて好ましくない結果をもたらしやすいという点だ。Facebookが情報をインポートしようとしてる上記のサイトはいずれもoAuthあるいは似たような認証プロトコルをサポートしており、 ユーザー名とパスワードを入力することなくアクセスが可能だ。さらに安全な方法は、これらのサービスが提供しているAPIを利用することだ。これによってユーザーはFacebookに対して、メールの中身や付帯するサービス全てではなく、アドレス帳だけに限ってアクセスを許可することができる。

Facebookのセキュリティー・チームは正しいセキュリティーのあり方をブログでお説教した。では、そろそろ精力を内部に向けて、oAuthその他の安全かつ便利な情報交換のためのオープン・データ・フォーマットのサポートの努力を始めるべきだろう。

[原文へ]

(翻訳:Namekawa, U)