• コミュニティ内すべて
    • コミュニティ内すべて
    • フォーラム
    • 提案
    • ブログ
高度

お探しの情報が見つからない場合、 フォーラムで質問してください。

拍手0

Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

返信

拍手0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

尚、前掲のサイイン中のネットname、漢字氏名、メールアドレスの3点セットの表示は80番ポートに平文で送られており、暗号化されていない。 やはり、httpsで暗号化して送られるべきものだろう。 同一URLからのスクリプト分岐で平文表示すべきデータでないのは自明であり、別ページにするべきだと、重ねて主張したい。

拍手0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

そういったことは、わざわざここで書かないほうがいいのでは?

余計に情報が拡散してしまいます。

「プライベートメッセージ」などがあるわけですから、担当者なりと直接やり取りすべきだと思います。このスレッドは削除すべきです。
Windows 10 pro 64bit / Firefox / NIS v.22
拍手0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

kawamoto76さん、ご提案ありがとうございます。

仰られているページはプロフィールページだと思いますが(私の場合、こちらになります)、これはログインしている本人にしか登録情報が表示されない仕組みになっております。従って、ログオフすると本人であれ登録情報が表示されないようになっています。様々なウェブサービスでよく見られる手法かと存じます。

また利用規約に、

ご利用者は、ご利用者が ユーザー登録フォームでシマンテックに提供するすべての情報は、真正かつ正確であることを表明し、保証します。ご利用者がユーザー登録フォームに虚偽、不正確または不完全な情報を記載した場合、シマンテックは、直ちにご利用者のアカウントを終了することができます。」

と明記してあります通り、虚偽の内容で登録は規約違反となります。規約違反を助長する内容の投稿も削除させて頂きます。

本コミュニティプラットフォームは、第三者サービスを利用して運営しておりますので、そちらの会社に暗号化について頂いたご提案を報告いたします。弊社では他社サービスを利用する際は、その会社とサービスに対して厳しいセキュリティチェックをかけており、それに合格した会社とサービスのみを利用しておりますので、安心してご利用頂ければ幸いです。

株式会社シマンテックノートン コミュニティ 日本版コミュニティマネージャー 高島
拍手0

Re: Nortonコミュニティへのユーザー登録情報のセキュリティ脆弱性

登録に生年月日を記載させなければならない必然性はないと思います。 個人情報を預からなければ、ないのですから盗み出される危険性はないのに、Symantecは何故に爆弾を抱えようとするのでしょうか?

 サイトの「荒らし」行為を防止するため、あるいは名誉毀損事件などで裁判所からアクセスログの提出を求められた場合、投稿者の特定のための照合アイテムとして、生年月日を記載させるという傾向があろうかとは思います。

 そうではなくて、一般的に顧客の情報交換の場を提供するサイトによく見られる傾向として、DMメールの送付リスト作成や将来のダウンロード販売などでの金銭授受の電子決済システム導入に際して、データを収集しようと考え、不要ならば活用しなければいいというようなセンスで安易に個人情報を収集しているケースが多いようです。 年齢別統計を取りたいというような趣旨であるのならば、月日までは不要で生年だけの入力で十分なのではないでしょうか。

 Norton製品のコミュニティに参加する人のほとんどは製品登録を行っているユーザーが大半だと思いますので、製品登録のユーザー番号を入力するだけで事足るように思います。 製品登録をしていなくてコミュニティに参加する人については、製品未登録ユーザーの区分を作って、登録ユーザーと分けて登録させるようにすればいいと思います。