http://cockydog.web.fc2.com/software/mico.html
のソフトを使おうと思っています。
使用にあたって、mixiにログインするため、メールアドレスとパスワードを求められるのですが、
この情報が作者に送信されていない担保はどのように取ればいいのでしょうか?
メールアドレスやパスワードを求められるフリーソフトは他にも結構あると思うのですが毎度疑問に思っています。
特にID、パスワードの一元管理をするソフトを強く必要としているのに怖くて使えません。
1、安全性の裏づけの取り方
2、mixiメッセージ送受信用に他に良いソフトがあれば
3、ID、パスワード管理ソフトで信頼できるもの
の3点、お分かりのものだけでも結構ですので、教えて下さい。
安全性の裏づけの取り方についてですが、雑誌にも紹介され大手フリーソフトサイトにも掲載されて一定期間経過したようないるようなソフトに、罠が仕掛けられていた場合は大抵誰かが見つけて話題になります。そういった情報をみかけないというだけで、それなりに信頼していいと思います。もっとも、確実に裏付けになるわけではありませんが。
自分で確かめるのであれば、
http://www.forest.impress.co.jp/article/2004/03/22/pckanshi2.htm...
のような通信監視ソフトを使って、そのソフトが不審なアクセスをしていないか確かめればいいと思います。
http://purin.pinky.ne.jp/milk-cake/soft/index.htm
私は、mixibackupを使ってます。
---------------
1、安全性の裏づけの取り方
完全に安全性を検証するのは難しいので、
バックアップに取るときだけバスワードを変更して、
それからバックアップをとります。
バックアップをとれば元に戻します。
ネットワークをモニターしても良さそうに思いますが、
100回に1回しか送信しないとかだったら、
検出できない可能性もあるので、100%の確証がもてません。
なるほど。
ローテクですが効果はありそうですね。
でもメッセージ自体に秘匿性のある情報が含まれていた時に、やはり不安は残ります。
そこまで言うなら、WEBメールも信用できないという事になってしまいますが・・・
罠が発見されただけではおそらく罪にはなりませんが、得たパスワードを利用してログインした場合やそれを誰かに漏らして使わせた場合は作者に刑事罰があります。
http://www.npa.go.jp/cyber/legislation/gaiyou/gaiyou.htm
また、裁判例は見当たりませんでしたが、民事的にも制裁を与えることができる可能性も高いと思われます。
ご質問のソフトウェアの作者さんはそれなりの期間継続してソフトを発表していますし、mixiのアカウントも公にしています。
万一、罠が発覚したときの社会的なダメージは決して小さくないでしょう。
少々心配しすぎのようにも思います。
それなりに評判のあるフリーソフトに罠が仕掛けられているリスクよりもネットカフェなどでログインした際にパスワードを盗まれたり、知り合いに盗まれるリスクのほうが相当高いです。
>万一、罠が発覚したときの社会的なダメージは決して小さくないでしょう。
この裏付けが一番安心感が高いです。
ゲーム理論じゃないですが、相手方の合理的行動が罠を仕掛ける事ではないという理屈が欲しい。
安全性の裏付けに対してですが、簡単な方法は作者を信頼することです。
それでは納得いかないのでしょうから、その場合はファイアーウォールを使用することです。
該当ソフトに対し、mixi以外の通信を許可をしなければよいわけです。
逆にmixi以外に通信を行うようであれば、そのソフトは信用できないというわけです。
私も使用していますが、細かい設定及び検出のできるKasperskyをおすすめします。
ID/PASSの管理ですが、ソフトで行わなず、脳内で管理するのが一番です。
それが無理というのであれば、IDManager等をおすすめします。
このソフトはフリーソフトながらID及びPASSが暗号化される上に、外部への通信を行いません。
素晴らしい!
ソフトごとに通信設定ができるものだったんですね。
>IDManager
フリーソフトながらID及びPASSが暗号化される上に、外部への通信を行いません。
大変参考になりました。
自分では確認するのが中々大変なので。
ありがとうございます。
罠が発見された時、騒ぎになるだけなのでしょうか?
作者に刑事罰が与えられたり損害賠償訴訟が起こされたりしないのであれば、フリーソフトはやはり怖くて使えないのですが・・・。
抑止力が期待できませんし、実際一々各ソフトの情報を追跡調査してられませんよね。
やはり自分で技術的な意味でのリスクヘッジをできる人しか使うべきではないのですかね・・・。