Scribble at 2022-08-26 14:40:27 Last modified: 2022-08-26 14:45:44
僕は昔から疑問に思っているし、当社でオンラインの管理画面とかを受託案件や社内で開発してリリースするときは、僕は「認証コード」を利用者にユニークな文字列として発行し、それを入力してもらっている。正直、credentials として複数の情報、つまり「ユーザ名」と「パスワード」を必要とする妥当な根拠なんてないのだ。しかも、そのユーザ名がメール・アドレスである必然性など全くない。世の中の大半のプログラマというのは、もちろん情報セキュリティの知見も配慮もない無能であることは周知の話ではあるが、それだけではなく原理原則に立ち返って何が最善だったり適切なのかを考える力もないのだから、そういう無数の連中が実装している常識的なウェブ・アプリケーションが、インド人の実装にせよ、あるいは Japan とか言われている辺境国家の無能どもによる実装であろうと、クズであることに違いはない。
デジタル・アイデンティティがメール・アカウントであるなどという話は、確かにリアリズムでもあるし皮肉な話でもあるが、もちろん当たり前でもなければ不可避の話でもない。しかし、オンラインのアイデンティティがサービス・アカウントとごっちゃになってしまっているからには、区別して扱うのは非常に難しいし、多くのサービスがメール・アドレスを「ユーザ名」として登録するという馬鹿げた仕様になっている以上は、避けることも難しい。
そして、これは何度でも言わせてもらうが、メール・アドレスを使わざるを得ない実情はともかく、これを decentralization するという触れ込みでプロモーションを展開していたのが、OpenID だったのだ。それがいまでは殆ど GAFA 専用の SSO 仕様の一部であるかのようになってしまっている。僕が10年以上も前に、まさしく OpenID を奨励する人々(その中には、崎村氏はもちろんだが、OpenID guru とか呼ばれていた、例のサイボウズ・ラボの rock star であった某氏も含まれる)が理想郷のように語っていた "federation" なんて実は GAFA の寡占状態を意味するものでしかないという予言は(もちろん当時は同じことを言っていた人がほかにもいた)完全に的中したと言える。確かにこれは崎村さんのせいでもなんでもないのは知っているが、まぁ僕がこの手の話題を情報セキュリティの実務家としても、あるいはネットのサービスを利用する個人としても軽視するようになった理由の一つは作ってくれたのだろうと思っている。少なくとも OpenID や OAuth などの仕様は、アイデンティティとは何の関係もないし、それどころかデジタル・アイデンティティとも別の何かだろうと思う。