パスワードを忘れた? アカウント作成
13730081 story
Firefox

Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 28

ストーリー by hylom
アドレス自体は送信せずに使えるのね 部門より
headless曰く、

Mozillaは25日、既知の個人情報流出にユーザーの電子メールアドレスが含まれている場合に通知するサービス「Firefox Monitor」を開始した(The Firefox FrontierMediumVentureBeatThe Verge)。

このサービスはHave I Been Pwned?のデータを使用するもので、Firefox MonitorのWebサイトで電子メールアドレスを入力してアカウント情報流出を一度だけスキャンするほか、サインアップすれば詳細リポートや新規情報流出時に通知を受け取ることなどが可能になる。2017年に計画が発表された際はFirefoxの機能として開発されていたが、Firefox Monitorは任意のWebブラウザから利用できる。

2017年時点ではユーザーの電子メールアドレスがHave I Been Pwned?に送信されることに対する懸念も出ていた。そのため、Firefox Monitorでは電子メールアドレスから生成したハッシュの先頭6文字(プリフィックス)のみをAPIへ送信し、残りの文字(サフィックス)を照合に使う仕組みになっている。Have I Been Pwned?のAPIからはプリフィックスに一致するサフィックスを含むデータが返されるので、Firefox Monitor側でプリフィックス+サフィックスがハッシュに一致するデータのみユーザーへ通知するとのことだ(Mozilla Security Blog)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 記事末尾のMozilla Security Blogに自力で実装できそうなくらいの解説があるんだけどハッシュアルゴリズムに触れてない!
    ということでHave I Been Pwned?の該当API [haveibeenpwned.com]。SHA-1でした。(なぜかこちらでは先頭6文字ではなく5文字になってる)

    javascriptでWebAPI叩くコードを書く能力があれば、ブラウザのみで同じことできそうだね。

    --
    うじゃうじゃ
  • by Anonymous Coward on 2018年09月28日 14時12分 (#3488368)

    ブラウザとメールソフトに集中しろよ
    どうでもいいサービス立ち上げてないでさ

    • by Anonymous Coward

      Firefoxにも関係させることはできるんでは
      Firefox内蔵のパスワードマネージャーかLockboxに統合して、保存済みパスワードの変更を促すようにするとか
      似たような機能は各パスワードマネージャーにあるよね

    • by Anonymous Coward

      自分の金をどう使おうと自由だろ!

      Wikipediaが検索エンジン作るといい出したときは、
      えっ?そんなもののために寄付したんじゃないんだけど…
      と思ったね。

    • by Anonymous Coward

      今のmozillaはThunderbirdに金を渡してないのです。

      そろそろ組織がforkする時間なのかしらねぇ。

  • by Anonymous Coward on 2018年09月28日 14時03分 (#3488363)

    ・Mozillaが信用ならねぇ、データ集めてんじゃね?
    ・入力するのがそもそも情報リテラシ的にどうかと思う

    • by Anonymous Coward

      還付金詐欺感

    • by Anonymous Coward

      他人のメールアドレスを入力しても結果が表示される
      プライバシーの侵害である
      結果は入力されたメールアドレスにメールで送信スべきである

  • by Anonymous Coward on 2018年09月28日 14時12分 (#3488369)

    Have I Been Pwned?の方にも、メールアドレスを登録しておけば、今後の漏洩時にお知らせしてくれる機能がある。
    さらには、ドメインを登録しておけば同様のことがドメイン単位で受け取れる。

    メリットとしては、Mozillaにだけメールアドレス教えてもいい、って人向けくらい?

    ちなみに、HIBPを運営してるのはMicrosoftで働いてるTroy Hunt氏。

    • by Anonymous Coward

      HIBPのデータ使うなら大して変わんよな、ぶっちゃけ。

    • by Anonymous Coward

      > Troy Hunt氏
      セキュリティ的にはすごく不吉な名前だな

      • by eru (12367) on 2018年09月28日 14時40分 (#3488385) 日記

        むしろセキュリティ的には良い名前じゃね?

        親コメント
        • by Anonymous Coward

          トロイをハントするのはトロイの木馬を送り込む方なんですがそれは

      • by Anonymous Coward

        トロイを狩るんだから、むしろ良い名前じゃね?

        • by Anonymous Coward

          よう、オデュッセウス

          • by Anonymous Coward

            アンチウィルスをウィルスソフトって言うみたいに、トロイの木馬をトロイっていう問題があるな。

  • by Anonymous Coward on 2018年09月28日 14時26分 (#3488380)

    試したら、
    該当リストに有名どころのほかに「こんなところにユーザー登録したっけ?」的なところが入ってた。

    そんな俺には役に立ったw

    • by Anonymous Coward

      漏れまくりじゃねーか。

      唯一の汚点Dropboxが非常に悔やまれる。
      https://security.srad.jp/story/16/09/04/1714241/ [security.srad.jp]

      隠蔽までしやがって絶許だわ。

      • by Anonymous Coward

        わいもDropboxや…許せねぇ

    • by Anonymous Coward

      YoupornかxHamsterにでも登録してたんかな、えっち。

    • by Anonymous Coward

      自分も役に立ちました。
      確かに大昔登録したよなーって感じのサービスでしたので、助かった。

  • by Anonymous Coward on 2018年09月28日 15時03分 (#3488403)
    試してみた。
    いくつかのメールアドレスで "Error connecting to HIBP. " エラーになった。
    余計に心配になった。
  • by Anonymous Coward on 2018年09月28日 19時35分 (#3488658)

    過去に何度か漏洩したメールアドレスを入れてもso goodだと。

  • by Anonymous Coward on 2018年09月28日 23時54分 (#3488822)

    自分のメールアドレスが流出してたけど、まったく知らなかったわ。
    定期的変更不要論者が前提する「パスワードが外部流出した場合はパスワードを変更する」という仮定が非現実的であることがよくわかる。
    都合の良い前提に基づいたいいかげんな主張だ。

    • by Anonymous Coward

      まともなサービスだったら流出した時点で強制変更だろ。

    • by Anonymous Coward

      その恐るべきリスクを再認したこのACは、その後死ぬまで所有するすべてのアカウントのパスワードを毎月変更し続けたのだそうだ。

      めでたし、めでたし。

    • by Anonymous Coward

      その検知能力のないサービス利用を先にやめるべきだろ。
      毎時毎分変えなきゃ、一時間でどれ程の被害を生み出せる世の中になっていると思っているんだよ。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...