はじめに
送信先間違ったらワンナウト
納品物ZIP添付してたらツーアウト
暗号化ZIPしてたらセーフ
・・・と見せかけて
パスワード書いたメールも誤送してたら業務委託先チェンジ!!
そもそも、この運用だと一連の流れがセットで起こりやすいじゃん。。バズ記事にいまさらのっかるようでアレなんだが
コメント欄の通り致し方なしのもある。ただ、はっきりとデメリットを言えるものとして令和ではパスワードは選手交代してくべきでしょう。PPAP運用を、のほほんと継続してるとその間コンピューターは性能向上するので突如ディスラプションを喰らうわけです。
秒間100億回と1.8億回試していることになります。
ヒエ~ッ
誤送信したらパスワード運用してようがガーキャンされる。爆速マシンを一時間だけとかクラウドの力でカジュアルにぶん殴る事もできちゃう(笑)。16文字ぐらい使っててもTwitterやらSNSから情報抜いてAIでパスワード予測もやろうと思えばできるでしょう。逃げれる気がしない。。
注意喚起や啓発記事も大事だ。そもそもSaaSとかOffice365、Gmailとか送信後キャンセルできるの使わないのが悪い。わかる。たしかにそう。
でも僕は手を動かしてもっとほかの選択肢を作ってみたい!!
こんな仕組みです
- 送信フォームからいつも通りメールします
- 受信。ただ、受信者にはタイトルとURLがだけ送られてきます
- 開くとQRが載ってます。受信者がアプリでQR読むと
- 該当メールに可読フラグがたつので内容が読めます。やったね!
実装した技術的には
- スマホ Cordova + React
- サーバー Golang + redis + Hyperledger
- メール表示画面 React + typescript
という無駄な大所帯です。笑
動作な画面
(ヘボッな)フォーム画面から送信します
宛先の人がメールを受信します
URLを開くとQRが出てます
スマホアプリからメールアドレスを入力します
QR読ませます
読めました!あと添付ファイルもHTTPS配下で守られています
やっべ!誤送したーの場合
送信時に送り元にQRが届いています。スマホのアプリからメールを入力し、QRを読ませます
証拠隠滅されました!
この仕組みなら通信全体がHTTPSなので添付ファイル付けても安全に取得できるし、削除用QR付ければ誤送信後に取り消しする仕組みも可能。IMEIが危ないってならYubikeyとかFIDOに対応すれば強化できるね!
こんなかんじで既存のメールシステムをラップすれば冒頭の泥試合も無くなるとおもうんだ。どうでしょうかね。
イキりポイント
個人的にイキりたいのはHello worldレベルの実装ではあるものの、他のエコシステムと組み合わせることで暗号化をしないでも認証強度を高める部品としてブロックチェーンを使えた事で、これはこれまで「ただのKVSじゃん!」とか「(ブロックチェーンを)使う意味がない」というのとは別次元じゃないっすかね?
見ようと思えば見れちゃう。けどエコシステム上改ざんできないから問題無いよね。しかも利用者側がどんな値か確認できるから運用側まかせじゃない、各自の責でサービス使うよね。って建付けが出来ている。これだ!
なんでブロックチェーンって凄いの?の一片を実装できた気がする。スマートコントラクトには情シスは要らんのさ。満足満足じゃ。
え!?普通無いAPIサーバーの運用はどうするんだって????