■ 地方銀行のEV SSL対応はどうなったか 2005年2月20日の日記で「フィッシング防止のため地方銀行はこうするべき」ということを書いた。つまり、インターネットバンキングのログイン画面のページで、ちゃんと銀行のドメイン名を使用するべきだという話だった。たとえば、NTTデータの「ANSER WEB」を利用してインターネットバンキングのサービスを提供している小さな銀行らは、anser.or.jp というドメイン名のURLのページ上にログイン画面があるため、一般の利用者達にとって、本物と見分けるのが簡単ではなかろうという話だった。 そして今年の4月、次のニュースが出た。 インターネットバンキングサービスのフィッシング対策を強化! 〜「EV SSL証明書」と「フィッシングサイト閉鎖サービス」を導入〜, NTTデータ, 2008年4月22日, NTTデータでは、こうした状況を踏まえ、サイトの信頼
browserとbankに関するKazabanaのブックマーク (22)
-
Kazabana 2008/06/29
-
安全なブラウザ - saitonのブログ
先にも引いた Opera の文書だが大事なことは何度でも繰り返し言っておく。 Why are RSA/Diffie-Hellman keys shorter than 900 bits not secure enough? 512 bit RSA 暗号を使っている金融機関が、日本には少数ながらも複数存在するのを確認している。IE や Firefox で警告が出ないからといって十分だと思わず、そうした金融機関は早急に方針を見直した方が良い。 金融機関にそうした知識がないのなら、システムを提案するサイト構築業者が方針を見直すべきだ。まさか IE と Mozilla で警告が出ないから十分な暗号強度があるでも思っているのだろうか。これは Opera で動作確認しろと言っている訳ではない。それはまた別の話だ*1。金融サイトの構築を引き受ける会社に、暗号化通信の専門家が居ないなんて空恐ろしくて考えた
-
金融機関がブラウザのシェアを公開してるよ @ ArtSaltのサイドストーリー
顧客が使ってるブラウザのシェア。 こういうふうに公開している企業は非常に珍しいのではないだろうか、と発作的に思ったので、発作的に紹介。マネックス証券という会社。 開発中止が宣言されたNetscapeの件では対応が早い企業の部類に入るんじゃないかな、よく知らないけど。 推奨環境にSafariとFirefoxを追加しました マネックス証券では、このたび「Safari」と「Firefox」を新たに推奨環境に追加いたしました。 MacOSをご利用のお客さまや、Firefoxをメインブラウザとしているお客さまも、普段使い慣れたブラウザから快適にお取引や資産管理・投資情報等をご利用いただけます。 是非ご活用ください。 ■ マネックス証券のウェブサイトの推奨環境
-
ページが見つかりませんでした | マネックス証券
ページが見つかりませんでした お探しのページは一時的にアクセスできないか、削除または移動された可能性があります。 お手数ですがトップページ、またはサイト内検索より目的のページをお探しください。
-
Netscapeが開発サポート停止しても推奨環境を一つのブラウザにしてはいけない理由 - 「 Firefox ×?=!」を考えてみる、ブログ。
既に数年前から過去のブラウザと化していたNetscapeだが、開発サポートが停止となるとその影響は広範囲にわたる。特にNetscapeを推奨環境に記載する銀行などのWebサイトや、自団体内でNetscapeを団体構成員に利用させてきた企業や大学などの教育機関では早急な対応を迫られるものと思われる(大学などは春休みに乗換か)。 Netscapeを推奨していた(使っていた)Webサイトや団体の選択は以下の三つ。 Netscapeを使うのをやめてOSにはじめから入っているIEやSafariなどを使う Netscapeの資産を取り込みやすいFirefoxやThunderbirdを使う Netscapeと同様にブラウザとメーラーが一体化しているOperaやSeaMonkeyなどを使う おそらく一つ目と二つ目の選択が多数派になると思われるが、IEかSafariへの乗り換えは「代替手段の明示または提供」
-
銀行とかセキュリティとか 2 - saitonのブログ
昨年末の 12 月 21 日に「銀行とかセキュリティとか」であらかた書いた件が、今日半日悩んでいた問題の答えへの導入だとは、夜になるまで全く気が付かなかった。 とあるセキュリティを要する日本の有名サイトを Opera 9.2x で開こうとすると、このサイトは時代遅れの暗号化を使っています。あなたの情報は守られませんが続けますか、という警告が出た。IE でも Firefox でもそうした警告は出ない。試しに Opera 9.50 で開いてみても警告は出ない。 こういう時に大事なのは、警告文の詳細である。しかし微妙に文面が違うのは直に分かったが、同じサイトを別のバージョンの Opera が異なった扱いをするという事実にだけ目が向いてしまって、ある意味緩やかなパニック状態に陥ってしまった。これは 9.2x のバグなのではなかろうか。しかしかしなぜなのだろうかと。 暗号化通信が意味を持つためには、
-
高木浩光@自宅の日記 - 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている, オレオレ警告を無視せよと指示する金融機関が他にも
■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。 Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日 この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。 当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀
-
高木浩光@自宅の日記 - オレオレ警告の無視が危険なこれだけの理由
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
-
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
-
blog.katsuma.tv
SSL証明書について調査してみました。今更ながら初めて知ることも結構あったり。EV SSLとか正直知らなかったよ。久方ぶりの調査内容は、せっかくなのでまとめなおしてみたいと思います。全部Webをクロールすれば分かることなのですが、なかなかこういう情報ってまとまってないものですし。 以下、個人的なメモ含の備忘録です。 (*) 主観的な情報はほぼ排除してWebから分かる客観的な事実のみをまとめています。「で、結局どうよ?」な話はまた別で。。 memo SGC(Server Gated Cryptography) 古いブラウザでアクセスしたとき(40bit暗号しか対応していないとき)強制的に128bit暗号にする技術 VeriSign、またはVeriSign傘下の会社のみが発行できる(?) 下の調査会社の中ではVeriSign、thawteが対応 EV SSL 企業の実在性をより確実に認証する証
-
高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記
■ 緑シグナルが点灯しないのに誰も気にしていない?という不思議 フィッシング対策ソフトの導入動向 最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。 主要行等向けの総合的な監督指針(平成19年6月版), 中小・地域金融機関向けの総合的な監督指針(平成19年8月版), 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保 ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている
-
「SSL2.0をわざわざ使わせようとする銀行」のその後 - 「 Firefox ×?=!」を考えてみる、ブログ。
以前インターネットバンキングでのFirefox推奨状況を確認していた時に書いた、IE7ユーザーにいまさらSSL2.0を使わせようとする銀行の内容に関して、6月頃に高木浩光氏のブログで取り上げていただいた。 高木浩光@自宅の日記 - 銀行2.0はまだ来ない 前回調査時にはIE7ユーザーに対してわざわざSSL2.0を使わせようとする銀行がいくつかあったが、今回再度確認したところ、それらについては軒並み修正されていた。また、IE7には言及していないがSSL2.0にチェックを入れるように説明していた銀行についても、いくつかの銀行は修正を行っている。 前回調査時はSSL2.0にチェックを入れるように説明していたが、修正された銀行 武蔵野銀行|Internet Explorer7をご利用いただくにあたってのご注意 <やまぎん>ネットバンク|Q&A 山形銀行ネットEB|システム関連 宮崎銀行:Welco
-
高木浩光@自宅の日記 - 銀行2.0はまだ来ない
■ 銀行2.0はまだ来ない 4月に、「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」というブログエントリを見かけた。それによると、Internet Explorer がバージョン7に移行し始めたことを契機に、「SSL 2.0を使用する」に設定変更するよう指示している銀行があるのだという。Internet Explorer 7がセキュリティ上の理由でSSL 2.0をオフに変更したにもかかわらずだ。 例えば武蔵野銀行は、4月の時点で図1の解説を掲示していた。 Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。 他にも山形銀行が同様の解説を掲示していた。いったいどうしてこんなことになるのかと、問題点の指摘がてら、なぜ書いているのか聞いてみた(4月に電話で)。すると、だいたいこういうやりとりになった。 ある銀行:
-
34歳男性が住宅ローンを調べる――最も使いやすい銀行サイトは?
フォレスター・リサーチは、Webサイトのユーザービリティを独自の手法でポイント化した調査結果を発表した。それによると、34歳男性が住宅ローンを調べるには、三菱東京UFJ銀行、みずほ銀、三井住友銀の順で使いやすいという。 三菱東京UFJ銀行16点、みずほ銀行13点、三井住友銀行4点、りそな銀行-8点――フォレスター・リサーチ ジャパンは6月13日、Webサイトのユーザービリティを独自の手法でポイント化した調査結果「Best And Worst Of Japanese Site Design 2007」を発表した。 日本の銀行、自動車、家電の3業種について、それぞれ特定のユーザーが特定のシナリオで利用した場合の使い勝手などを独自にテストした。 銀行に対する調査では、34歳既婚の男性が住宅ローンの借入について調べるために銀行のWebサイトを訪れたと想定。「価値」「ナビゲーション」「表現」「信頼性
-
128bit SSL 最強伝説 - oldriverの日記
高木浩光氏が銀行のフィッシング解説の出来の悪さについて書いていた(http://takagi-hiromitsu.jp/diary/20070331.html#p01)。それで銀行のサイトをつらつらと見ていたんですが、暗号化強度についての言及について、気付いた事があったので、書きます。(フィッシングとは関係ありません。) りそな銀行のサイトより。強調は筆者。 セキュリティ安心講座/質問集1 http://net.resona-gr.co.jp/resonabank/red/inetbank/security/qa01.html Q1 インターネットって情報が漏れないか心配なのですが…。 A1 りそなダイレクトでは強力な暗号化で対応しています。 (中略) 「りそなダイレクト」では、現在、一般に用いられている中で最強の128ビット暗号化システムによりお客さまの情報を保護しています。 最新のセキ
-
インターネットバンキングでFirefoxを使えるようにする3つの方法 - 「 Firefox ×?=!」を考えてみる、ブログ。
Firefoxでインターネットバンキングを利用しようとすると、推奨環境にFirefoxが明記されていなかったり、「Firefoxでは利用できない」とサービス提供を拒否される事がある。そんな時に試してほしい3つの方法*1。 1.拡張機能のUser Agent Switcherを導入する Firefox用の拡張機能であるUser Agent Switcher*2はウェブサイト側のチェックを潜り抜けるのに有効な手段である。特に、ブラウザのUser Agentを見てスクリプトで振り分けているだけのサイトにおいて有効である。単にUser AgentをIEやNetscapeのものに書き換えるだけでよいからだ。特にNetscapeを推奨環境に挙げている銀行では、NetscapeのUser Agentに書き換えるだけで利用できるかもしれない。Firefoxでは、Netscapeと同じ系統のレンタリングエン
-
IE7ユーザーにいまさらSSL2.0を使わせようとする銀行 - 「 Firefox ×?=!」を考えてみる、ブログ。
インターネットバンキングでのFirefox推奨状況を確認していた時に気が付いたのだが、Internet Explorer 7ユーザーに対して、SSL2.0を使うように設定変更を促している銀行が目に付いた。これらの銀行では注意書きとして『Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。』などと書かれているので、一般ユーザーならばチェックしなければならないものと思ってしまうのではないだろうか。 Internet Explorer 7 における HTTPS セキュリティの強化点 (Windows IETechCol)にも記述があるように、SSL2.0はセキュリティの問題が理由でIE7の標準設定から外されたのだが、このような銀行の対応は問題を全く無視しているとしか思えない(それとも、問題自体を知らない?)。もうちょっとまとも
-
推奨環境にFirefoxを明記する銀行が急激に増えている理由 - 「 Firefox ×?=!」を考えてみる、ブログ。
昨年「個人向けインターネットバンキングの推奨環境にFirefoxを記載する銀行は二行」とスラッシュドット・ジャパンに書き込んだが、一年近く経ったので今現在どの程度の数の銀行が推奨ブラウザとしてFirefoxを明記しているか改めて調べてみた。調査の対象は全銀協の名簿(全銀協の概要|全国銀行協会:全銀協の会員一覧)に記載の銀行のうち、正会員(128会員)と準会員(55会員)。準会員のうち半数以上は外国の銀行である為、実際には正会員+10行程度が調査の対象となる。 結果、Firefox対応を明記している銀行数は2007年4月21日現在で16行である*1。 調べてみて分かったのは、推奨環境にFirefoxを明記する銀行が急に増えているという事、そのほとんどが地方銀行である事、である。 ここで疑問。なぜ地方銀行ばかりなのだろうか? 答えは簡単。「システムを開発運用している会社が同じだから」である。
-
高木浩光@自宅の日記 - 「常に新しい」新銀行東京は時代に取り残されていた
文字潰れを起こしていて読めない。 「フィッシング とは」の図解ページなんかは、図に書かれた文章からして文字が米粒大に なっている。 パッと見で勝負。中身は読んでもらう必要なし。 という方針で作られているのだろう。 ■ 「常に新しい」新銀行東京は時代に取り残されていた 「都民になったことだし、新銀行東京*1 に口座でも作るか」 とサイトを訪れてみたところ、なんと、インターネット バンキングのログイン画面は、 アドレスバーを隠したポップアップウィンドウになっていた。 古いシステムを今から作り直すお金がないというのならわかるが、今年新たに 開業した銀行がのっけからフィッシング詐欺の基礎対策をしないというのは、 わけがわからない。いったいどこの業者が作ったのだろうか。 しかも「右クリックは禁止です」と得意げだ。
-
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました