パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

金融庁が家計簿アプリ事業などを登録制にする方針を示す」記事へのコメント

  • by Anonymous Coward

    そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。

    • ですよねー…。
      ReadOnlyのトークン 的なものだったらまだしも、
      お金関係で 全アクセス可能なパス とか、
      セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。

      • by Anonymous Coward

        今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
        ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし

        • みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。

          オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。

          毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151

          • HTTPSをブロックしていた [security.srad.jp]割にはしっかりとした対応なんですね。

            親コメント
            • みずほ銀行は、

              1. 2014年11月26日以前: HTTPS でアクセス可能だった
              2. 2014年11月27日以降: HTTPS でのアクセスをブロック [security.srad.jp]
              3. 2015年04月10日以降: 再び HTTPS でのアクセスが可能になる [security.srad.jp]
              4. 日付不明: 何故か、また HTTPS でアクセスできなくなる
              5. 2016年10月23日以降: みずほ銀行ホームページの常時SSL化とデザインリニューアルのお知らせ [mizuhobank.co.jp] を公式発表 再び HTTPS でのアクセスが可能になる ← 今ここ

              と迷走を続けていました。

              推測ですが、

              • SHA-2 非対応の古いブラウザやガラケーを切り捨てる決断はなかなかできない
              • Chrome が先行して SHA-1 証明書に対して警告を示す黄色の三角が表示された錠アイコンを表示するなどの対応をとったため、警告マークが表示されるよりは HTTP の方がマシだと判断

              などの理由で、銀行内で意見対立が生じるなどして、迷走してしまったのではないでしょうか。

              新しい告知文章 [mizuhobank.co.jp]には、

              常時SSL化とは、ウェブサイトのすべてのページをhttps化(通信の暗号化)するセキュリティ手法のことで、みなさまに安心してご利用いただけるホームページの実現を目指します。

              なお、常時SSL化するに際しては、サーバ証明書は「SHA–2」方式、通信プロトコルはSSL3.0を廃止しTLS1.0以上となりますので、以下に記載のご利用いただけない環境でご利用の場合は、当行ホームページをご利用いただけない可能性がございますので、バージョンアップ等のご対応をお願いいたします。

              (以下、「常時SSL化によりご利用いただけない環境」を列挙)

              当行ホームページのご利用にあたっては、OS(オペレーティングシステム)がWindows系の場合には、Internet Explorer 11、Firefox 最新版、Google Chrome 最新版を、OSがMac OS Xの場合には、Firefox 最新版またはSafari 最新版をご利用いただくことを推奨します。(強調は引用者)

              と、SHA-1 だけでなく SSL3.0 もはっきり切り捨てる旨が書かれており、また三井住友銀行や三菱東京UFJ銀行が IE をのみを動作確認環境としている中、Firefox・Google Chrome・Safari、しかも「最新版」と明記した上で推奨している点も評価できると思います。

              (SSL 3.0 を廃止しているのに「常時TLS化」や「常時HTTPS化」ではなく、「常時SSL化」と表記している点には違和感を覚えますが……)

              過去の迷走は酷かったけど、今現在のセキュリティ面での対応は素晴らしい と思います。

              親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...