ユーザログイン |
ネット銀、個人情報が危ないネット銀、個人情報が危ない 米大「4分の3に欠陥」(朝日):「47%のサイトは顧客がログインするときに暗号技術を使っておらず」,スラッシュドット・ジャパン | 銀行ウェブサイトの大半はセキュアではない? からリンクされた論文によれば,ログインページはhttp:でも実際のユーザ名とパスワードはhttps:で送られるサイトが47%あるということだ。有名なコマースサイトや,多くのMoodleインストレーション(うちも含め)でもそうなっている。パスワードを送ってからでないとhttps:であることがわからないので,実はhttps:にする意味は半分しかなかったりする。
|
検索最近のコメント
|
意味はゼロ
偽の相手に偽の相手の鍵で暗号化してもまるで意味ないので、https:にする意味は半分ではなくて、ゼロじゃないでしょうか。
Kaminsky poisoning で、危機は急上昇中です。
Re: 意味はゼロ
単なる盗聴には対応できるという意味で半分と書いたのですが,今問題になっているDNSの問題などで偽サイトに誘導された場合は効果ゼロですね。
Re: Re: 意味はゼロ
この半分かゼロかという話,どこかで聞いたことがあると思ったら,自己署名証明書でSSL/TLSをする場合に効果は半分かゼロかという話と似ていました。セキュリティは一番低いところから陥落するので,1と0の平均をとって半分というのはおかしいのですが,人付き合いもあるので……。
break in the chain of trust
この論文で最初の問題点として挙げられている break in the chain of trust について,三重県の3銀行について調べてみました。いずれもhttps:なページに移行するとドメイン名ががらっと変わってしまいます。
http://www.hyakugo.co.jp/
https://www.105bank.com/
http://www.miebank.co.jp/
https://www2.paweb.anser.or.jp/
http://www.daisanbank.co.jp/
https://bb1.finemax.net/