こらない

2010-01-24(日)

Googleのログインアカウント情報を渡すのは当然ながら怖い

先日のfoursquareに登録した時にも思って、さっきTwitterのTwitter / 友だちや同僚を探すを見た際にも思ったのだけど。

上記はどちらも、「お友達」等とたくさんつながって面白くなるサービス。
いや、使い方はさまざまだけど、とりあえず。

けど、そのサービス上で「お友達」を探すは面倒。
もし例えば、自分の「アドレス帳」をそのサービスに渡して、「あなたのところのサービスを使ってる人がこのアドレス帳の中にいたら、教えて!」ということが出来たら、楽チン。

そんなわけで、上記のサービスでは、ユーザにGoogleやYahoo!のログインアカウントとパスワードを入力させて、そのアカウントを使って機械的にログインして、アドレスブックやコンタクトリストの内容を読み出す、ということをしてくれる。
なるほど、それは便利そう。
けど、それって…。

例えばTwitterだと、以下のように書かれている。

私たちはセキュアに送信されたあなたのログインIDとパスワードを保存しません。私たちはメールアドレスを他のTwitterユーザーがあなたを探しやすいように保存します。私たちはあなたの許可なしにこのアドレスにメールを送信することはしません。

もちろんそうじゃなきゃ困るけど、いやあでも。

例えばあたしはblocっていうサービスを運営してる。
このサービスもいちおう、誰かとつながった方が便利な部分がある。
というわけで、他の「自分と知り合いのblocユーザ」を探すために、あなたのGoogleのログインアカウントとパスワードを使って、Gmailのコンタクトリストの情報を利用しようとした、と。
なにかしらのフォームから、Googleのログインアカウントとパスワードを入力してもらう。
どこにも保存せずに、そのままそのアカウントを使ってGmailを読みに行くべきなのだけど、サービスを開発/運営しているあたしは、ユーザには内緒でそのアカウントとパスワードを知ることも可能。
つまり、以後、あたしはそのアカウントを使って、あなたのGmailをずーっと盗み見ることができる。
Gmailだけじゃなくて、GoogleカレンダーもドキュメントもYouTubeも、Googleアカウントでログインできるサービスはどれでも。

と、当たり前のことを長々と書いたのだけど、今後こうやって、GoogleやYahoo!その他のログインアカウントとパスワードを入力させようとするサービスが増えてくるのかなーと思って、そんでもってそれがどういうことか分からずに入力しちゃう人も多いかもと思い書いてみた。
そのサービスを信用するかどうかは、あなたが決める。

ついでに。

blocにもログインの機構があるので、ユーザ登録時にログインIDとパスワードを決めてもらってる。
ユーザ登録後は、そのIDとパスワードでログインしてもらうことになる。
ということは、どこかにIDとパスワードが保存されているわけで、開発/運営をしているあたしはそのIDとパスワードを盗み見ることができるわけで、いろんなサービスで同じIDやパスワードを使い回してる人も多いので、そういう人のIDやパスワードを使って日夜いろんな情報を盗み見見ているとかいないとか、…ってことはないです。
ないです、って宣言して信用してもらおうってことじゃなくて、そもそもパスワードってのはそのままの形で保存してないのが普通で、blocもそうなってるので、あたしはみなさんのパスワードを知ることはできないのでした。
だから、たまに大手で「パスワードが流出!」とかって報道があるとすごく驚き、です。

コメント