ホーム

ネット銀、個人情報が危ない

ネット銀、個人情報が危ない 米大「4分の3に欠陥」(朝日):「47%のサイトは顧客がログインするときに暗号技術を使っておらず」,スラッシュドット・ジャパン | 銀行ウェブサイトの大半はセキュアではない? からリンクされた論文によれば,ログインページはhttp:でも実際のユーザ名とパスワードはhttps:で送られるサイトが47%あるということだ。有名なコマースサイトや,多くのMoodleインストレーション(うちも含め)でもそうなっている。パスワードを送ってからでないとhttps:であることがわからないので,実はhttps:にする意味は半分しかなかったりする。

  • 投稿者:okumura 投稿日時:2008-07-28 22:29
  • ログインしてコメントを投稿

意味はゼロ

偽の相手に偽の相手の鍵で暗号化してもまるで意味ないので、https:にする意味は半分ではなくて、ゼロじゃないでしょうか。
Kaminsky poisoning で、危機は急上昇中です。

  • 投稿者:tss 投稿日時:2008-07-29 09:08
  • ログインしてコメントを投稿

Re: 意味はゼロ

単なる盗聴には対応できるという意味で半分と書いたのですが,今問題になっているDNSの問題などで偽サイトに誘導された場合は効果ゼロですね。

  • 投稿者:okumura 投稿日時:2008-07-29 09:16
  • ログインしてコメントを投稿

Re: Re: 意味はゼロ

この半分かゼロかという話,どこかで聞いたことがあると思ったら,自己署名証明書でSSL/TLSをする場合に効果は半分かゼロかという話と似ていました。セキュリティは一番低いところから陥落するので,1と0の平均をとって半分というのはおかしいのですが,人付き合いもあるので……。

  • 投稿者:okumura 投稿日時:2008-07-29 10:51
  • ログインしてコメントを投稿

break in the chain of trust

この論文で最初の問題点として挙げられている break in the chain of trust について,三重県の3銀行について調べてみました。いずれもhttps:なページに移行するとドメイン名ががらっと変わってしまいます。

http://www.hyakugo.co.jp/
https://www.105bank.com/

http://www.miebank.co.jp/
https://www2.paweb.anser.or.jp/

http://www.daisanbank.co.jp/
https://bb1.finemax.net/

  • 投稿者:okumura 投稿日時:2008-07-31 10:43
  • ログインしてコメントを投稿

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。