パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場」記事へのコメント

  • by Anonymous Coward
    通信路が暗号化されている、くらいの認識しかないってことだね。
    発行元が証明されているとか、中身が改竄されてないことを証明するってところは
    あまり知られてないということ。

    あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
    それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
    • by onoyan (135) on 2007年11月28日 12時21分 (#1256747) ホームページ 日記
      いやあ、利用者はもちろん銀行の中の人も普通は理解して無いんじゃないかなぁ。
      こういうのって、サイト(というかその裏のシステム)を構築したベンダーが
      助言するべきじゃないかと思う。

      その助言が「いや、問題ないっスよ。気にすんなって書いて良いっス」だったら
      目も当てられないけど・・・。
      --

      --- (´-`)。oO(平和な日常は私を鈍くする) ---
      親コメント
      • サイト(というかその裏のシステム)を構築したベンダーも理解してないんじゃ・・・なわけないない
        • by shojin (28072) on 2007年11月28日 13時18分 (#1256791) 日記
          いやいや、案外現場はそういうものかもよ。
          昔々、業務で開発しているプログラムの意味が分からんので解説して欲しいと相談されたことがあったけれど、そこで読んだソースコードはフォームのhiddenパラメーターをいじれば管理者特権が得られるという阿呆な設計だった。しかも、そのアホソースが入ったプログラムは全国に導入を検討している所があったみたい。開発でコピーアンドペーストが当たり前に行われていたようなので、この脆弱性って相談者の会社が作った他のプログラムにもあったんだろうなぁ。

          まあ、Ken's USA-Japan あっとらんだむ [cnet.com]じゃないですが、所詮日本ではソフトウェアはハードウェアのおまけ的な位置ですからね。ソフトハウスはコンピュータサイエンスをまともに学んだ学生が行く場所にはなってないんですよね。
          親コメント
        • by Anonymous Coward on 2007年11月28日 13時38分 (#1256811)
          システムを開発する業者は理解しているはずですが、
          システムを提案するインテグレータ業者は理解して無いでしょうね。

          銀行がコストをケチって故意にオレオレ証明書にしているのではなく、
          単に、充分な説明を受けてないからオレオレ証明書になっているのだと思う。
          インテグレータ業者が銀行に対し説明しないのは、理解してないからでしょう。

          風通しって大切ですよね。

          # Web屋やってた時にオレオレ証明書について嘘を書かされた記憶があるのでAC
          親コメント
          • システムを開発する業者は理解しているはずですが、
            システムを提案するインテグレータ業者は理解して無いでしょうね。
            高々自分ひとりの経験からそこまで言う自信がすごい。
            そういう場合もあれば、その逆もあるだろうし、両業者とも理解してる場合も、両業者とも理解してない場合もあるでしょう。
        • by Anonymous Coward on 2007年11月28日 12時56分 (#1256776)
          理解していながら危険なサイトを構築し
          危険な操作を案内しているとしたら、
          無知よりなお救われない気がしますが。
          親コメント
          • 「武蔵野銀行、インターネットバンキング環境にフィッシング対策ソリューションを導入」 [atmarkit.co.jp]
            っていう記事を見つけたんだけど、記事によると、武蔵野銀行の顧客が自分のPCにPhishWallなる
            ソフトを入れるとブラウザのツールバーに緑色の信号が表示され一目で安全であることが証明されるそうな。

            武蔵野銀行は自分ところがフィッシング対策をきちんとやってると勘違いしてるんだろうなあ。
            なんか悪いベンダーとつきあってるんだと思う。
            親コメント
            • by stat (28781) <{28781} {at} {a2the.net}> on 2007年11月29日 11時33分 (#1257292) 日記
              自己レスですが、
              高木氏は、PhishWallなどのフィッシング対策ソフトの問題点も指摘 [takagi-hiromitsu.jp]されてます。
              要約すると、
              ・金融庁の監督指針に、「フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる」ことが示された。これを受けて多くの金融機関がフィッシング対策システムを導入した。

              ・適切なSSL証明書を導入するよりはるかに高額なフィッシング対策システムを導入した地方銀行のほとんどが、適切な証明書を使わずに(オレオレ証明書に日立やNTTのを使ってる所が多いようです。)対策システムを入れたことで満足してしまっいてる。

              ・フィッシング対策ソフトを入れてネットバンクを利用した場合、顧客のブラウザには緑シグナルが点灯して取引の安全性が証明されるはずであるが、いくつかの金融機関では緑シグナルが点灯しない。にもかかわらずそのままの運用が続けられていて、誰も気にしていない。
              というものです。

              金融庁が、これこれのベンダーのシステムを使ってさえいれば監査が通るよ、という見解を出していて、ほとんどの金融機関はフィッシング対策のことをまじめに考えずに監査のことだけ考えてるんだろうなあ。
              親コメント
          • by Anonymous Coward on 2007年11月28日 18時25分 (#1257037)
            理解していながらやっている悪人は、圧力があればすぐにでも正しい道に戻れるので
            自分では善いことをしているつもりの無知の方がずっと救われない、
            と親鸞上人はおっしゃいました。
            親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...