「はてな便利ツール@RSSを一気に登録」について
ちょっと、引っかかるところが多かったので、念のため注意喚起しておきます。
先日、はてなブックマークで話題になっていたこのツール。
一応、はてなブックマークでも何人かの方がセキュリティ的な部分を気にしておられますが*1、宣伝疑惑の方*2が先行して、セキュリティ面での危険性を真剣に考慮している方が少ないような気がします。
このツールの何処が危険かというと、はてなという自分たちの運営しているものではないサービスのIDとパスワードの入力を促すところです。更に、フォームが暗号化されていないので、入力した情報は、第3者による傍受が可能です。
このようなサイトに対しては、まず、フィッシングを疑うべきでないかと思います。*3
私個人としては、件のサイトがそのような目的で作られているとは考えていませんが、基本的に他のサービスの会員情報の開示を求められるようなツール・サービスはセキュリティ上利用すべきではないと考えています。
また、サービス運営側も、仮に利用者にそういう行動を強いるものを公開するならば、そのサービスは安全であるという何らかの担保を示すべきだと思います。(ex. はてなと機密保持契約を結び、はてな側から安全であるといったのアナウンスがある等。)
「金融サービスの会員情報じゃないから大丈夫じゃないの?」という考え方もあるかもしれませんが、例えば以下の条件にあてはまる方のはてなIDとパスワードが漏出した場合の危険性を考えてみたら、そういう問題じゃないということがわかるでしょう。
- ダイアリーからYahoo IDがわかる。
- そのYahoo IDで、Yahoo オークションを利用している。
- Yahooとはてなのパスワードが同じ。
件のツールは、少なくとも運営者から何らかの担保を示されるまでは、使うべきではないでしょう。
追記:
コメント欄の無体さんの説明が、より具体的です。目を通して頂けると幸いです。
追記2:
説明が追加されています。
元は、このGoogleキャッシュのような感じでした。
追加されている部分は、以下の通り。
ご利用は自己責任で
このツールは非公式ツールです。利用には はてなのID&PASSが必要です。
ツールを運用しているサーバ側ではこれらのアカウントを保持する事は決してありませんが、
利用はあくまで個人の責任の元おねがいします。
勿論、このような説明があったとしても担保にはなりませんし、SSLで暗号化された訳でもないので通信傍受が可能な状態のままです。
*1:http://b.hatena.ne.jp/entry/http://hatena.satoru.net/bookmark/rss/
*2:http://d.hatena.ne.jp/comnnocom/20051016/satoru
*3:件のサイトは、はてな外のサイトであることは明記されているので、厳密にはフィッシングというものには入らないかもしれませんが。