■なぞなぞ認証は「認証」じゃなくて「知人の識別」 [news]

セキュリティの専門の人が食いつきそうなネタだなぁ。

なぞなぞ認証では「私の祖母の名前を漢字4文字で」など、その質問の答えを知っている人にならはてなのアカウントがなくても閲覧を許可することができるようになりました。

なぞなぞ認証機能を追加し、認証の設定をMyはてなで一括して行うよう変更しました - はてなダイアリー日記

はてならしいアイデアといえばそうだけど、これに「認証」という言葉を使うのは……。
異を唱える人はいそうだけど、まだでてきていないかな。
これはあくまで「知人の識別」であって、「認証」と呼んではいけないのではないか、と。

prima materia - diary : 識別と認証を区別して考えることはセキュリティに繋がる

で書いたように*1「認証」が誤った、あるい拡大解釈された意味で使われる様になると「系全体のセキュリティ」を低下させるんじゃないかと思うんだけど。

(参考)

ここでは特に CAPTCHA の "P" ― すなわち "Public" に込められた意味に注目したい。完全な CAPTCHA はそのアルゴリズムとデータベースが公知であってもなお有効でなくてはならない。安全な暗号技術はそのアルゴリズムが公知であっても安全である（ケルクホフスの原理 [Wikipedia]）のと同じ理屈であると考えてよい。
(略)
本来，このように比較的高度な認知が必要とされる作業は，コンピュータにとって非常に困難な問題となるはずだが，その難しさは元となる画像のデータベースが秘匿されていて始めて成立するものである。ひとたびそのデータベースが手に入ってしまえば，高度な認知など行わなくても，簡単な画像のマッチングのみで問題を突破することが可能となってしまう。

Radium Software Development

p278
識別と認証を混同すると、深刻なセキュリティ問題になる。

セキュリティはなぜやぶられたのか

• 作者: ブルース・シュナイアー
• 出版社/メーカー: 日経BP社
• 発売: 2007-02-15
• ASIN: 4822283100
• メディア: 単行本
• 

■転職/目的/ライフスタイル [news]

「前向き」な転職理由じゃないとダメでしょ？ − ＠IT自分戦略研究所

の2ページ目。

「当社には女性のITエンジニアも数多くいるものの、お子さんができるのを境に退職してしまうなど定着率が悪く、何とかしなければいけないと思っていたんです。娘さんの件にも会社として協力しますので、ぜひわれわれの会社に来て、彼女たちの良き先輩、モデルケースになっていただけないですか？」

にはびっくり!
なんて前向きな会社。
「モデルケース」と呼んでいるからには、本人も会社も大変なことや問題は山積みだと思う。
それに対して、試行錯誤してでも取り組んでいこうという会社の姿勢には感服。
転職関連の記事としては、珍しくも面白い(interesting の方)ものだった。

■Ruby on Rails で要求仕様を作ろう [etc]

「要求仕様書」じゃないことがポイント

オフショア時代を乗り切る明確な要求仕様作成術 - 要求開発アライアンスのビジネス・モデリング道場：ITpro

でもこのアイデア、前にどっかで読んだ様な気がする……。