保証付き匿名ログインと即時銀行振込を可能にして！ ― プライバシープロバイダ API （仮称）

ブックマークレットとサーバー間通信を使い、即時銀行振込(「PP振込」と呼ぶ)や保証付き匿名ログイン(「PPログイン」と呼ぶ)などを可能にする。そのための API が欲しい。

■基本的な機構
  1.閲覧クライアントは、PPクライアントサイト(閲覧しているサイト)で、 PPログイン準備画面やPP振込準備画面を表示する。
  2.ブックマークレットをクリックし、PPサーバーサイト(ブックマークレットによって移されるサイト)にPPクライアントサイトの URL を GET メソッドで送る。
  3.PPサーバーサイトは Web クライアントとしてPPクライアントサイトの URLに一定の変更を加えたURLから XML を取得する。
    
      一定の変更とは例えば ../[session-id]?[modeline] を ../[session-id]/pprequest.xml?[modline] に変えたものである。
      
      このときは SSL などを使ったり、電子署名した XML を返したりしても良いだろう。お互いに信用できない場合はその旨を閲覧クライアントに表示すれば良いだろう。バックエンドで PKI を用いても良いし、ドメインのチェックだけでも十分かもしれない。
  4.PPサーバーサイトは XML を解釈し、PPサイバーサイトでのログイン処理など閲覧クライアントを通じて行う。
  5.上が正常に終了したときのみ、PPサーバーサイトは XML に記されていた終了通知用のURLに GET または POST で正常終了の旨を通知し、さらに次に表示すべき URL(元のPPクライアントサイトと同じであることが強く望まれる)とタイトルのみが入った XML を受け取る。
  6.正常終了時のレスポンスとしてPPサーバーサイトは自動または手動で「表示すべき URL」にジャンプするよう閲覧クライアントに返す。
    
PPサーバーサイト側のユーザー情報は基本的にPPクライアントサイトに渡さない。もし、ユーザーがPPクライアントサイトで問題を起こせば、PPサーバーサイトに照会し、管理者を説得するという手間が必要とされる。

■応用
  
応用として「匿名的ID取得＆ログイン」「保証付き匿名ログイン」「即時銀行振込」を考えている。

  ●匿名的ID取得＆ログインの手順
    
PPクライアントサイトを最初に利用するとき、PPを使ったID取得を行う。まず、希望する空きIDを決めさせたあと、「お気に入り(ブックマーク)などにあるお望みの《PPログイン》をクリックしてください。PPログインとは、このサイトの入場確認や名札付けを別のサイトの入場確認に頼って行う仕組で、今のところ privacy-protected login の略です。別のサイトからの指示で作ったお気に入り(ブックマーク)の項目や、送付されたCD-ROMからインストールしたボタンなどから使えます。そのようなもののうち次の企業のものに対応しています。...」などと表示する。

ブックマークレットがクリックされたあと、PPサーバーサイトは(そこでのログイン処理などをしたあと) XML を取得し、そのサイトに関して ID と自動生成したパスワードを記録し、そのパスワードを POST でPPクライアントサイトに渡す。

最終的には閲覧クライアントに Welcome 画面が表示される。

次からの利用は ID を入力したあとページ上の「PPログイン」ボタンを押すと、「お気に入り(ブックマーク)にあるお望みの《PPログイン》をクリックしてください。PPログインとは...というもので、次のような企業のものに対応しています。...」と表示する。

ブックマークレットがクリックされたあと、PPサーバーサイトは(そこでのログイン処理などをしたあと) XML を取得し、そのサイトのIDに関するパスワードを POST でPPクライアントサイトに渡す。

最終的には閲覧クライアントに Home 画面やログイン前のページなどが表示される。

ログアウトはPPクライアントサイト側でのみ処理すれば良いことにし、一定時間ごとの再ログインを求めるだけにしたい。

  ●保証付き匿名ログインの手順
    
上の次からの利用のときに ID に何も入力せずに「PPログイン」ボタンを押すと「例のメッセージ」が表示される。

ブックマークレットがクリックされたあと、PPサーバーサイトは(そこでのログイン処理などをしたあと) XML を取得し、一時取得 ID を記録し、次の処理を知るために GET でPPクライアントサイトを呼ぶ。

最終的には閲覧クライアントに Welcome 画面やログイン前のページなどが表示される。

ログアウトはPPクライアントサイト側でのみ処理すれば良いことにしたい。

なお、PPクライアントサイト側は、一時取得 ID を表示する必要はないし、個人的にはすべきでないと思う。PPクライアントサイトとPPサーバサイトの両管理者が共に問題を認めたときのみ、照会可能にしておいたほうが良いだろう。

  ●即時銀行振込の手順
    
PPクライアントサイトでレジを使ったとき、支払いに「PP振込」を選ぶと最終確認後に、 「お気に入り(ブックマーク)などにあるお望みの《PP振込》をクリックしてください。PP振込とは、外部サイトである銀行等が支払いのときのみ主導権を握って、簡便でも安全な処理を可能とする仕組です。PP は今のところ privacy-protected の略です。銀行等のサイトからの指示で作ったお気に入り(ブックマーク)の項目や、送付されたCD-ROMからインストールしたボタンなどから使えます。そのようなもののうち次の企業のものに対応しています。...」などと表示する。ちなみに「PP振込」ボタンを「PPログイン」と分ける必要は必ずしもない。

ブックマークレットがクリックされたあと、PPサーバーサイトは(そこでのログイン処理などをしたあと) XML を取得し、口座情報および購入金額とそのあいまいな内訳を得る。それをユーザーに提示して入金処理を行ったあと、その旨をPPクライアントサイトに通知する。実際にこのとき入金処理が行われたとみなすか、実際の入金があるまで待つかはここでは問わない。

最終的には閲覧クライアントに処理完了または実際の入金を待つ旨が表示される。

■特徴
  ●閲覧しているサイトは、ブックマークレットによって移されるサイトからほとんど情報を得ることはできない。
  ●PPサーバーサイトでの認証があることを前提として、PPクライアトサイトでは(ほとんど)匿名の利用でも一定の節度と、ユーザーの高度なプライバシーの両立が期待される。
  ●基本は Web なので動作がオープンでテストがしやすい。
  ●外部サーバーとの連携の開始の権限をユーザーにわかりやすい形で渡す。 (多少ハードルは高くなるけれども。)
    
■最後に
  
そもそもの動機としては、ID の相続というものを考えたときに第三者が関与して ID を譲渡するにはクライアント側でのパスワード管理が複雑だと難しいと思ったこと、私はクレジットカードを使うのに強い抵抗があってネット経由の銀行振込がセキュアなままもっと簡単でわかりやすくなって欲しかったことが挙げられる。

思いつく欠点は、二社以上がやらねば意味がないこと、単純で目新しい技術を使ってないことから、すでに(ブックマークレットができるようになったころに)失敗してしまっている可能性があること、ネットから本物の匿名文化が失われる危険があること、が挙げられる。まぁ、３つめは今となっては杞憂というか、意味のないものかもしれないが。

また、ID管理と銀行振込の２つの分野にまたがるようにして数を増やそうと思ったが、これから普及させるには、少々インパクト不足は否めない。この記事を公開することで、さらにインパクトが薄れる懸念が……さすがにないか。

■参考
  ●《ITmedia：パスワードの使い回しは危険――ITUが警告》
  ●《ITpro：「ユーザー認証は『パッシブ』と『アクティブ』の両方で」――米RSAのCEO》
  ●《ZDNet Japan：シングルサインオンから複数ユーザーのID共有へ――リバティ・アライアンス》
  ●《CNET Japan：知らされなかったパスワード--ユーザーの死が封印するアカウントと遺族のアクセス》
  ●《JRF の私見：税・経済・法：シリアルナンバーや ID、ポイントの譲渡を可能とする場合の考察》
    
人は思いもよらないことを、つい書き込んでしまうことがある。その先の管理者ははたしてどこまで信用できるのか。SNS は安全とは限らない。あるいは 2ch のようにある種の「信用がないこと」すら求められる。

宗教的信条もからむような問題を少し危いところにまで踏みこむのには「匿名」は欲しい。でもその管理者はある種の信頼ができる人であって欲しい。

宗教団体や学校がPPサーバーサイトを運営し、個人は複数の団体を使いわけ、 PPクライアントサイトは、プライバシーを預けにくい少し乱暴な者が運営する。そういう形のほうが SNS などよりもいいのではないかと下の記事を読んで私は思った。

  ●《CNET Japan：子供たちの将来に影を落とすネットの書き込み》
  ●《CNET Japan：次のキラーアプリは宗教か？--盛り上がりを見せる「教会関連技術」市場》
    
二つの管理者が別々に ID (のような情報)を管理し、問題があればそれを付きあわせて、ID の管理者が対応するという仕組はすでにあるよう。

  ●《スラッシュドット ジャパン：ACCSがプロバイダを介してWinnyユーザに警告メールを送付》 
    
掲示板を使った者の IP アドレスから結果的に個人を特定できるなら保証付き匿名ログインの仕組は意味がないのかもしれない。

あえて利点を挙げるなら、PPサーバーサイトもPPクライアントサイトも IP アドレスのログを保存しなくても、問題に対処できる<b>はず</b>という点か。この使い方に関しては、ログ保全のありかたに一石を投じる意味ぐらいしかないのかもしれない。

掲示板サイトへの書き込みについては無線 AP の共有を認め、IP アドレスから個人が特定できないようにする……というのは難しいか。

  ●《CNET Japan：草の根無線LAN「FON」が日本でも始動》
  ●《ZDNet.com オープンソースブログ：アジア地域におけるオープンソースの興隆――チャンスか、脅威か》
    
更新：2006-12-12--2006-12-14
初公開：2006年12月12日 20:14:03
最新版：2006年12月14日 17:19:12

Trackbacks:

《プロミス》 from プロミス
プロミスキャッシング 

受信： 2006-12-13 18:52:40 (JST)


《沢尻エリカ　沢尻会の人間関係相関図！！》 from 沢尻エリカ　沢尻会の人間関係相関図！！
沢尻エリカの沢尻会が大騒ぎ！！  ・長澤まさみ 沢尻エリカを睨みつけていた ・沢尻エリカ ジャニーズと合コンしまくり 関ジャニ∞渋谷すばる 大倉忠義 錦戸亮 KAT-TUN　　田中聖 田口淳之介 中丸雄一など ・沢尻エリカ ジャニーズJr.を巡ってのサエコイジメ 詳細 ・沢尻エリ..... 

受信： 2006-12-21 18:05:16 (JST)


《【井上和香】おっぱい撮影＆男を落とす＆パイ汁》 from 【井上和香】おっぱい撮影＆男を落とす＆パイ汁
【井上和香】おっぱい撮影＆男を落とす＆パイ汁  和香ちゃんのおっぱいが机の上にのってさらにでかさを際立たせてるね    【お宝度】★★★★☆   【動画ダウンロード】 ※18歳以上をクリック→サイトの中へとお進み下さい。      ... 

受信： 2006-12-25 19:05:05 (JST)


《Statuses_Editor_Proxy.CGI - XMLRPC と OAuth を組み合わせた「ひとことサイト」ソリューション》 from JRF のソフトウェア Tips
このアプリケーションは何？ ユーザーとして MovableTyle の機能を XMLRPC から使い、Twitter.com やはてな社が実装する OAuth をユーザー認証に用いることで、CGI のサーバーにリソース・セキュリティが乏しい場合でも、ユーザー追加型の「ひとこと」サイトを一般ユーザーが比較的安心して運用できる Web アプリケーションです。 MovableType のテンプレート、そ... 

受信： 2011-06-04 17:07:08 (JST)


Comments:

更新：少しリンクを足した。
投稿: JRF | 2006-12-13 16:25:05 (JST)

更新：タイトルを変え、無線がらみのコメントとリンクを足した。
投稿: JRF | 2006-12-13 20:21:17 (JST)

Links:

ITmedia：パスワードの使い回しは危険――ITUが警告: http://www.itmedia.co.jp/enterprise/articles/0612/04/news012.html (hbm)
ITpro：「ユーザー認証は『パッシブ』と『アクティブ』の両方で」――米RSAのCEO: http://itpro.nikkeibp.co.jp/article/NEWS/20060426/236362/ (hbm)
ZDNet Japan：シングルサインオンから複数ユーザーのID共有へ――リバティ・アライアンス: http://japan.zdnet.com/sp/interview/story/0,2000056426,20313267,00.htm (hbm)
CNET Japan：知らされなかったパスワード--ユーザーの死が封印するアカウントと遺族のアクセス: http://japan.cnet.com/special/sec/story/0,2000056937,20268827,00.htm (hbm)
JRF の私見：税・経済・法：シリアルナンバーや ID、ポイントの譲渡を可能とする場合の考察: http://jrf.cocolog-nifty.com/society/2006/09/post_1.html
CNET Japan：子供たちの将来に影を落とすネットの書き込み: http://japan.cnet.com/column/pers/story/0,2000055923,20104367,00.htm (hbm)
CNET Japan：次のキラーアプリは宗教か？--盛り上がりを見せる「教会関連技術」市場: http://japan.cnet.com/news/media/story/0,2000056023,20104227,00.htm (hbm)
スラッシュドット ジャパン：ACCSがプロバイダを介してWinnyユーザに警告メールを送付: http://slashdot.jp/article.pl?sid=06/12/12/0651258 (hbm)
CNET Japan：草の根無線LAN「FON」が日本でも始動: http://japan.cnet.com/special/story/0,2000056049,20102387,00.htm (hbm)
ZDNet.com オープンソースブログ：アジア地域におけるオープンソースの興隆――チャンスか、脅威か: http://blog.japan.zdnet.com/opensource/a/000698.html (hbm)