Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 28
ストーリー by hylom
アドレス自体は送信せずに使えるのね 部門より
アドレス自体は送信せずに使えるのね 部門より
headless曰く、
Mozillaは25日、既知の個人情報流出にユーザーの電子メールアドレスが含まれている場合に通知するサービス「Firefox Monitor」を開始した(The Firefox Frontier、Medium、VentureBeat、The Verge)。
このサービスはHave I Been Pwned?のデータを使用するもので、Firefox MonitorのWebサイトで電子メールアドレスを入力してアカウント情報流出を一度だけスキャンするほか、サインアップすれば詳細リポートや新規情報流出時に通知を受け取ることなどが可能になる。2017年に計画が発表された際はFirefoxの機能として開発されていたが、Firefox Monitorは任意のWebブラウザから利用できる。
2017年時点ではユーザーの電子メールアドレスがHave I Been Pwned?に送信されることに対する懸念も出ていた。そのため、Firefox Monitorでは電子メールアドレスから生成したハッシュの先頭6文字(プリフィックス)のみをAPIへ送信し、残りの文字(サフィックス)を照合に使う仕組みになっている。Have I Been Pwned?のAPIからはプリフィックスに一致するサフィックスを含むデータが返されるので、Firefox Monitor側でプリフィックス+サフィックスがハッシュに一致するデータのみユーザーへ通知するとのことだ(Mozilla Security Blog)。
Mozillaにもアドレス知られたくない場合 (スコア:2)
記事末尾のMozilla Security Blogに自力で実装できそうなくらいの解説があるんだけどハッシュアルゴリズムに触れてない!
ということでHave I Been Pwned?の該当API [haveibeenpwned.com]。SHA-1でした。(なぜかこちらでは先頭6文字ではなく5文字になってる)
javascriptでWebAPI叩くコードを書く能力があれば、ブラウザのみで同じことできそうだね。
うじゃうじゃ
Re: (スコア:0)
詳しい実装に関しては,k-Anonymity でググるかCloudflareのblogへ
https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/ [cloudflare.com]
Mozillaって金余ってんの? (スコア:1)
ブラウザとメールソフトに集中しろよ
どうでもいいサービス立ち上げてないでさ
Re: (スコア:0)
Firefoxにも関係させることはできるんでは
Firefox内蔵のパスワードマネージャーかLockboxに統合して、保存済みパスワードの変更を促すようにするとか
似たような機能は各パスワードマネージャーにあるよね
Re: (スコア:0)
自分の金をどう使おうと自由だろ!
Wikipediaが検索エンジン作るといい出したときは、
えっ?そんなもののために寄付したんじゃないんだけど…
と思ったね。
Re: (スコア:0)
今のmozillaはThunderbirdに金を渡してないのです。
そろそろ組織がforkする時間なのかしらねぇ。
予想されるコメント (スコア:0)
・Mozillaが信用ならねぇ、データ集めてんじゃね?
・入力するのがそもそも情報リテラシ的にどうかと思う
Re: (スコア:0)
還付金詐欺感
Re: (スコア:0)
他人のメールアドレスを入力しても結果が表示される
プライバシーの侵害である
結果は入力されたメールアドレスにメールで送信スべきである
優位性は? (スコア:0)
Have I Been Pwned?の方にも、メールアドレスを登録しておけば、今後の漏洩時にお知らせしてくれる機能がある。
さらには、ドメインを登録しておけば同様のことがドメイン単位で受け取れる。
メリットとしては、Mozillaにだけメールアドレス教えてもいい、って人向けくらい?
ちなみに、HIBPを運営してるのはMicrosoftで働いてるTroy Hunt氏。
Re: (スコア:0)
HIBPのデータ使うなら大して変わんよな、ぶっちゃけ。
Re: (スコア:0)
> Troy Hunt氏
セキュリティ的にはすごく不吉な名前だな
Re:優位性は? (スコア:1)
むしろセキュリティ的には良い名前じゃね?
Re: (スコア:0)
トロイをハントするのはトロイの木馬を送り込む方なんですがそれは
Re: (スコア:0)
トロイを狩るんだから、むしろ良い名前じゃね?
Re: (スコア:0)
よう、オデュッセウス
Re: (スコア:0)
アンチウィルスをウィルスソフトって言うみたいに、トロイの木馬をトロイっていう問題があるな。
試した。 (スコア:0)
試したら、
該当リストに有名どころのほかに「こんなところにユーザー登録したっけ?」的なところが入ってた。
そんな俺には役に立ったw
Re: (スコア:0)
漏れまくりじゃねーか。
唯一の汚点Dropboxが非常に悔やまれる。
https://security.srad.jp/story/16/09/04/1714241/ [security.srad.jp]
隠蔽までしやがって絶許だわ。
Re: (スコア:0)
わいもDropboxや…許せねぇ
Re: (スコア:0)
YoupornかxHamsterにでも登録してたんかな、えっち。
Re: (スコア:0)
自分も役に立ちました。
確かに大昔登録したよなーって感じのサービスでしたので、助かった。
Error connecting to HIBP. (スコア:0)
いくつかのメールアドレスで "Error connecting to HIBP. " エラーになった。
余計に心配になった。
明らか (スコア:0)
過去に何度か漏洩したメールアドレスを入れてもso goodだと。
パスワードの定期的変更の必要性がわかるな (スコア:0)
自分のメールアドレスが流出してたけど、まったく知らなかったわ。
定期的変更不要論者が前提する「パスワードが外部流出した場合はパスワードを変更する」という仮定が非現実的であることがよくわかる。
都合の良い前提に基づいたいいかげんな主張だ。
Re: (スコア:0)
まともなサービスだったら流出した時点で強制変更だろ。
Re: (スコア:0)
その恐るべきリスクを再認したこのACは、その後死ぬまで所有するすべてのアカウントのパスワードを毎月変更し続けたのだそうだ。
めでたし、めでたし。
Re: (スコア:0)
その検知能力のないサービス利用を先にやめるべきだろ。
毎時毎分変えなきゃ、一時間でどれ程の被害を生み出せる世の中になっていると思っているんだよ。