Baiduと時代の変化

Baidu IME(買収されたSimejiも)が勝手に入力情報を全部送ってたらしい。

ここで「やっぱ中国か」とか言って批判して終了するのは簡単だけど、もうちょっと掘り下げたい。
といっても、30分ぐらいでノーソース・印象と思い込みだけで書いてるので鵜呑み厳禁

今から1x年ぐらい前って、こういう情報を勝手に送るのは普通に仕込んでた気がするんだけどどうなんだろう?
ちょうど、ダイヤルアップからADSL/ISDNになって、定額常時接続サービスも登場して、ネットでデータをやりとりするコストが下がってきたあたり。

当時は
・今ほど一般人の利用が少なく、まだまだ利用者=PCの知識ある人・Co-developer(共同開発者)みたいなところがあって、ソフトウェアの改善に協力する意識があった?
・プライバシーやセキュリティの意識が低かった。開発者に対して過剰な信頼があった?
・セキュリティ意識の高い人はその頃から既に設定を確認して送信をOFFにしたり、プロキシかましたりして送信情報チェックしてた?
・今ほどネットサービスが普及してなくて、パスワードが漏れても被害が少なかった?
というイメージがある(全部「?」がついてたり、イメージと言っているのは、裏付けが0だから)。

現在では
・アプリは使うものであり、開発に協力する気なんてない人が多い
・プライバシー、セキュリティの意識が高い
・ネットサービスが広く普及し、重要なサービスのパスワードを扱うことも多くなった
という状況なので、勝手に送るのは論外、同意を得たとしても最小限にとどめる必要があるように思う。

私も自作のベンチマークソフトに「情報を送信」というボタンを付けてて、CPUIDやレジスタなどのハードウェア情報をユーザの操作で送ることができた。
勝手に送ってたわけじゃないけど、今だったら仮にユーザ操作だったとしてもこういう情報を集めることに同意を得るのが難しいかもしれない(もっとも、ベンチマークソフトだったらスコアとCPUIDぐらいは普通だと思うけど。プロセッサシリアルとか製造番号とかの個体識別できうる情報はアウトっぽい)。

今回のBaiduがまずかったのは
・変換情報を送るという警告を表示しなかった
・デフォルトでONになってた
ってことかな。
まあ、警告はEULA(ライセンス同意書)とかに表示されてるのかもしれないけど、あれは実質読まれてない(それはそれで問題だけど)ので、インストール中に「情報送信する」というチェックボックス(当然デフォOFF)を用意するぐらいしないとだめだと思う。


しかし、ニュースでやってた再現例、パスワードをメールに平文で書いて送ってた。
企業だと暗号化ZIPしてパスワードをメールで送るなんてのが結構あるらしいけど、本当はバッドノウハウだよね。
代替策に変更するにもコストかかるし、下手なシステム作るともっとセキュリティ下がるから簡単に廃止するってわけにはいかないけど。

私も昔、メールにクレカ番号書いてプロバイダ窓口に送ったことがあるけど、「メールにクレカ番号書かないで」って言われて「なんで?」って思ったなぁ。
何故か分からないけど、完全に電子メールシステムを信頼しきってて、ガチガチに暗号化とかトンネリングとかされててFBIやCIA(今だとNSAか)にも絶対解読されないものだと思ってた。無知って怖い。