アカウントを作る時は……
ちょっと長いんですが説明しますね。 foresdon.jp は mastodon というオープンソースソフトウェアで動いていて、ユーザーの PC やスマートフォンとこんな感じで通信をしています。
ここでは foresdon.jp でアカウントのパスワードを設定する場合について考えます。
- PC やスマートフォンからパスワードを入力して、送信します。
- PC やスマートフォンから foresdon.jp サーバーの入口までの間は SSL(TLS) という仕組みで通信が暗号化されているため、この区間でパスワードをのぞき見することはできません。
- foresdon.jp サーバーは、入口で通信の暗号化を解除して mastodon のプログラムに受信したパスワードを渡します。
- mastodon のプログラムはもう1度パスワードを暗号化(ハッシュ化)して保存します。ここで暗号化されたパスワードは、もう誰にも元に戻すことはできません。
というわけで、まぁ基本的には安全っぽいですよね。でもたとえば……
もしケダマが「悪いケダマ」だったら?
「悪いケダマ」は管理毛玉なので foresdon.jp サーバーの中でももちろん色んなことができます。
なのでその気になれば……
- foresdon.jp サーバーの入口から mastodon プログラムの間で一瞬だけ暗号化が解除された隙に、パスワードを盗聴することができます。
- mastodon プログラムにちょこっと細工して、暗号化が解除されたパスワードをこっそり保存することができます。
こういうの、実はそんなに難しくないんですプクククク……
さて次に「悪いケダマ」は手に入れたパスワードを使って、登録されているメールアドレスのアカウントにアクセスしてみます。mastodon に登録されたメールアドレスは非公開ですが、ケダマは管理毛玉なので普通に見ることができます。
この時、もし foresdon.jp とメールアカウントで同じパスワードを使いまわしていたら、このメールアドレスも乗っ取り完了ですね。受信メールや送信済みメールが見放題です。
さらにさらに、foresdon.jp に登録したメールアドレスが、例えば twitter の登録に使ったものと同じだった場合、twitter からの通知メールとかが残っていれば twitter アカウントがわかっちゃいます。
そしてまたパスワード同じだったら……?
もちろん foresdon.jp にはそんな細工はしてません。ですが万が一、ケダマの力及ばず foresdon.jp が乗っ取られてしまうような最悪の事態が発生すると、「悪いケダマ」の立ち位置に立つのは、誰とも知らない「悪意の第三者」です……
そういうわけで、万が一の事態が発生した場合でも被害を最小限に食い止めるために……
- 登録にはできる限り専用メールアドレスを使う
- 他のサービスと同じパスワードは絶対に設定しない
……この2つは是非ともケダマのお願いを聞いてもらえますよう、よろしくお願いいたします。m(_ _)m