« Javaジャバ言ってる間にも(4) − FriendSterはJavaからPHPに乗り換えていた | Main | スパムの標的にされやすいメールアドレス体系 »

だからアドレスバーとか消しちゃだめだってば

ほんと、いままでの(いまも?)銀行のサイトのセキュリティ感覚はどう考えてもおかしかった。

...ログイン画面にアクセスした際に、イーバンクの正規のサイトであることを確認できるよう Webブラウザにアドレスバーを表示するとともに、サイトの証明書を確認できるようステータスバーを表示する。 従来はURLなどを見せないほうが逆にセキュリティ確保につながるとの考えから、 これらの情報をログイン画面では表示しないようになっていたという。
イーバンク、フィッシング詐欺対策でログイン画面に新機能 (Internet Watch 2004/9)
ついでに追加された以下の手法は、確かに有効だ。
次に、ログイン時にキーワードによるログイン方法を追加する。これは、従来からのログインパスワードに加えて、ユーザーがあらかじめ全角10文字以内の“キーワード”を登録しておくことで利用できる。この新しい方法でログインしようとすると、ユーザーが支店番号、口座番号、ログインパスワードの最初の4文字を入力した段階でキーワードが表示される。このキーワードが正しければ、イーバンクの正規のサイトであると確認できる仕組みだ。
ちなみにYahooBBの無線LANサービス(試験サービス中)でも、ほぼ同じ手法がとられている。

関連記事:
フィッシング詐欺に強いデザインとは − 後悔しないためのWebデザイン
ツールバーもアドレスバーも消すな! − 後悔しないためのWebデザイン
安全なWebアプリ開発31箇条の鉄則 (産業技術総合研究所の高木氏のレポート PDFファイル)

2004/10追記:イーバンク銀行のこの機能はほぼ無意味であることが判明!

2004年9月 6日 Comments [0] | Trackbacks [1]

トラックバックURL

このエントリーのトラックバックURL:
http://www.ywcafe.net/mt/mt-tb.cgi/406

トラックバック

» RSSリーダーの表示方法を変更しました from PLAYON RSSリーダー開発日記
RSSリーダーの表示を別窓で出していたんですが、↓の記事を見ると、 http://neta.ywcafe.net/000418.html 出さない方がいいみたいなのでやめました。何もないウィンドウだとアプリっぽくってよかったんですが、悪いことをされないように対策はしないとだめですね。 http 続きを読む

Tracked on 2004年9月 7日 09:29

コメントする

(初めてのコメントの時は、コメントが表示されるためにこのブログのオーナーの承認が必要になることがあります。承認されるまでコメントは表示されませんのでしばらくお待ちください)


画像の中に見える文字を入力してください。