Baidu続報

バグだ仕様だ、いや陰謀だわざとだと情報錯綜大炎上中なので、しばらくは様子見なんだけど、現状Baidu側から上がってるコメントについて気になる点が。

「クレジットカード番号やパスワードといった信用情報、住所や電話番号などの個人情報についてはログ情報として収集しない仕様」

ということらしいんだけど、これどうやって判定してるんだろう?
クレカ番号は、数字16桁で一定のルールに従っているため、まだ判定しようと思えばできるかもしれない。
しかし、パスワードなんてどうやって判定するんだろう?
例えば「badpassword1234」のような全角入力をした場合はすり抜けてしまう?

まさかWebブラウザ限定で、inputタグのtypeがpasswordのみ除外?
詳細は調べてないから分からないけど、どうもそんな感じがする。

電話番号や住所なども、inputタグのnameがaddress、tel、telephone、mail等で判定してるのかもしれない。

ただ、もしそういう判定をしていたとしても、事実としては「完全に仕様通りの実装ができていない」という以上のことは言えない。
「仕様外のバグ」で送られたデータがどうなってるのかは現時点で闇の中。もしかすると永遠に闇かも。

とりあえず現時点で出来る対策はBaidu関係を使わないことだけど、Baiduに限らず
・不用意に全角で機密情報を入力しない
・パスワードやカード番号は辞書登録や変換を使わず、パスワードマネージャ等を使う
などを心がけた方がいいかもしれない。

もっとも、そのパスワードマネージャが情報を漏らしてたら意味ないけど…。
うーん、どうもパスワード認証自体に限界がある気が…かといって生体認証などの高度認証基盤はコストかかるし面倒なことも多いからなぁ。
二段階認証は異常に面倒なので、出来ればそれ以外でなんとか根本的な対策が欲しいところ。