新生鳩丸掲示板♯

>http://www.nifty.com/support/information/pw_webinquiry.htm

>によると、2005年2月28日からだそうです。

　なるほど、けっこう最近なのですね。

> 私もこのシステムを全然知らなかったのですが、最近できたのでしょうか?

http://www.nifty.com/support/information/pw_webinquiry.htm

によると、2005年2月28日からだそうです。

>カードの暗証番号はカスタマーサービスに電話すれば変更できます。それを簡単というのかどうかは謎ですが、まあ特に問題ない感じです。

　なるほど。でしたら初期暗証番号を勝手に決められても、すぐに覚えやすいものに変更できるわけですね。

#って、「暗証番号」で良いのかどうかという話は別途ありますが。

>　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

>　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

カードの暗証番号はカスタマーサービスに電話すれば変更できます。それを簡単というのかどうかは謎ですが、まあ特に問題ない感じです。

>シティカードの場合は、勝手に適当な番号が発番されてくるような気がします（いわゆる初期パスワード的な）。

　情報どうもです。

http://www.citibank.co.jp/ccsi/online/index.html

　にアクセスしてみたら「javascriptを使用しています。javascriptの使用をonにしてリロードしてください。」というのが 6回も繰り返されたりしていてかなりの気合を感じました。

　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

>>もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。

>　それは望ましいことだと思われて行われているのでしょうか。それとも、他に良い方法がないから仕方なくそうなっているのでしょうか。

シティカードの場合は、勝手に適当な番号が発番されてくるような気がします（いわゆる初期パスワード的な）。

>もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。

　それは望ましいことだと思われて行われているのでしょうか。それとも、他に良い方法がないから仕方なくそうなっているのでしょうか。

　紙ベースの申込書を書くような場合、たとえば手計算でハッシュ値を計算して申込書に書く、というのは現実的ではないわけで、他の良い方法がないのではないかと思うのです。

　紙ベースの申し込みではなく、申し込みが最初から電算処理されているのであれば、誰もその暗証番号を知らないようにするのは簡単です。

　その場合は誰も知らないようにした方が良いと思いますか?

　それとも、その場合でも管理者が読めるようにした方が良いと思われますか?

　いや、実は「管理者はパスワードが読めた方が良い」という考えは意外に根強いようなのです。実際にそういう要件を盛り込もうとしてくるクライアントがいたりしますので、そういう考え方もあるのだろうと思うのですが、どうしてそのようにしたいのかが良く分からないのですよね。

>「ニフティのパスワードは読み出し可能」

>は

>「ニフティのパスワードはニフティ側が知ることが出来る」

>にすべきじゃない？

　これはむしろ逆ですね。パスワードリマインダの機能があって、ニフティの担当者でなくても読めると言うことが明らかになりました。基本的にはユーザ自身が読むことを想定しているわけですが……。

>担当者が読み出せないＩＳＰを知りたいくらい。

　名前は出せませんが、少なくとも私が昔サーバを管理していた某所では読み出せませんでした。初期パスワードの履歴は残していましたが、ユーザが一度パスワードを変更したら最後、管理者でもそれを知ることは出来ません。

　これはセキュリティ上の理由であると同時に、ISP 側のリスク管理の問題でもあります。私の場合はサフィックスを使い回していただけですが、全く同じパスワードを使い回すユーザも存在するので、そのパスワードを ISP 側が知り得ると変なリスクがついてきます。言いたいことは分かると思いますので、あえて詳しくは述べませんが……。

　多くの ISP はそうしているだろうと思っていたのですが、逆にそうでない ISP の方が多いのでしょうか?

>問題の「パスワードを郵便物に印刷して送ってくる」って点だけど

>他のＩＳＰも契約時にはログインパスワードを郵便で送ってくるよね。

>ただ、直ぐに変更して下さいとは書いてあるけど。

　ユーザが入力したのではなく、ISP が初期パスワードを発行したなら、それを印字して送ってくるのは普通のことだと思います。その場合、ユーザがパスワードをすぐに変更すればメモも残らないし、問題ないわけです。

　しかし、初期パスワードではなく、ユーザが入力したパスワードを印字してくるというのはちょっと聞いたことがありません。そういうことをする ISP ってニフティの他にあるのでしょうか。

もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。その上からシールを貼りますが、はがせないシールだと誰も読み取れないので、はがせるシールです。

銀行に口座作るときも似たような話だと思いますが。

それに比べれば、どうでもいいことを問題にしている気がします。

うーん

「ニフティのパスワードは読み出し可能」

は

「ニフティのパスワードはニフティ側が知ることが出来る」

にすべきじゃない？

興味を引くって点でいいtopic名？だけどかなり語弊があるよね。

パッと見、誰にでも読み出せるの？と思えるし。

あと他の殆ど全てのＩＳＰでも担当者はパスワードを読み出せます。

ユーザーが忘れた時などのために。

担当者が読み出せないＩＳＰを知りたいくらい。

（セキュリティー状そのような行為は出来ませんと答えるＩＳＰは別にして）

問題の「パスワードを郵便物に印刷して送ってくる」って点だけど

他のＩＳＰも契約時にはログインパスワードを郵便で送ってくるよね。

ただ、直ぐに変更して下さいとは書いてあるけど。

ニフティーの郵便には変更して下さい云々の言葉は書いてなかったのかな？

書いてなかったとしたら無料サービスとはいえ問題だねぇ。

>当時の中国の都市は城壁に囲まれていて、南京市もその例外ではありませんでした。その中で虐殺があったというのは、今ではこれはほとんど否定されています。そういうイメージでの虐殺ではないんです。研究の最前線では、そうなっています。

>議論は、いわゆる市内（城内）では、便衣兵の逮捕と処刑（これを国際法違反の虐殺かどうかの問題）。郊外（城外）での敗残兵の殲滅（これを中国側が虐殺と主張している）に移ってきているんですよ。

どっかのコピペですね。もう２０回ほど同じ文面をみました。

しかもウソだらけです。

中国側は最初から城外殺人説です。城外で難民と敗残兵が殺害されたことを問題としています。

どっかの誰かさんたちは中国側の難民殺害説を無視して、勝手に「研究の最前線」などと僭称しているようですね。

>キャラの頭身に違和感があったりしませんか【謎】。

　大いにあります。

　しかし、ゲラ=ハには違和感がないので OK。いや、元々人間じゃないのでどんな投身でも違和感ないと思いますけれど。

キャラの頭身に違和感があったりしませんか【謎】。

これがドット絵だと全然気にならないのが不思議ですが。

>PS2のゲームでしょうか。

　PS2 のです。初代ロマサガのリメイクという位置づけだと思いますが、リメイクぶりがかなり激いです。割とナイスな感じになっていると思いますが。

>僕はとりあえず今は、iアプリのFF2にハマッています。どう進めていいのか全然思い出せないので、最初の街の周りでHPをあげまくっているだけという謎なプレイですが。

　あー、大戦艦前に HP が 8000 とか、ありがちですね。それもまた一興ではあると思います。

　攻略サイトとしてはこの辺がお勧めです。

http://surune.hp.infoseek.co.jp/Home/FF2/index.htm

PS2のゲームでしょうか。

僕はとりあえず今は、iアプリのFF2にハマッています。どう進めていいのか全然思い出せないので、最初の街の周りでHPをあげまくっているだけという謎なプレイですが。

>http://www.microsoft.com/japan/technet/community/columns/insider/iisi0304.mspx#EBBAA

　情報ありがとうございます。なんとー。

>約 2 秒で行うことができます

　というのはちょっと笑ってしまいましたが、このほうが便利そうではありますね。

証明書サービス無しでも、オレオレ証明書の作成はできるみたいです。

SSLDiagやselfssl使うと、証明書サービスであれこれするよりは楽です。

http://www.microsoft.com/japan/technet/community/columns/insider/iisi0304.mspx#EBBAA

「当然仮定すべき」なのは、まったくその通りなんですが、確認できてしまったとなると、やっぱりショックですね。ISP側としても、パスワードがごっそり漏洩するリスクを抱えることになりそうな。

>あと、「パスワードは定期的に変更せよ」なんつーのもあったような気がする。

　それは議論の分かれるところですね。それを実践すると「パスワードは決してメモしてはならない」という掟と両立できないことがあるので難しいです。

# というか、ニフティにしても人の入れたパスワードを印字したりするからびっくりなのであって、管理者が読めるというだけではここまで驚かないですけど。

>証明書作成は OpenSSH じゃなく OpenSSL かな。

　御意。直しましたです。