- seaser
- 会議室デビュー日: 2006/04/09
- 投稿数: 5
|
投稿日時: 2006-04-14 11:00
引用: |
|
Jittaさんの書き込み (2006-04-11 06:03) より:
この先、アドレスバーとステータスバーは“消せない仕様”になっていくと思います。
例えば、IE7 の場合、window.open の引数でアドレスバーを消しても、標準とは違った形のアドレスバーが表示されます。タブブラウザの場合、どんなに制御コードを書いても、大元のウインドウまで制御できるわけではありません。
(ツールバーとありますが、メニューやアドレスを含まない、本当のツールバーのみなのでしょうか?)
この辺を、サーバー(or スクリプト)から完全に制御できる場合に考えられるシナリオ。
ヨシオさんはいつも、四菱銀行を使っています。今日も、会社から給与が振り込まれているか確認するために、サイトにアクセスしました。四菱銀行のサイトにログインすると、「パスワードが長期間変更されていません。こちらのリンクから、パスワードを変更してください。」というメッセージがありました。確かに、長い間変更していないので、そのリンクをクリックし、変更することにしました。
リンクをクリックすると、ステータスバーやアドレスバーのない画面が表示されました。そこに、「現在のパスワード」と、「新しいパスワード」を入力する画面がありました。それらを入力して確定すると、「変更を承りました。変更には約30分かかります。その間、ログインできないことがあるかもしれません。」という表示がされました。「ふ〜ん、そうなんだ」と思いながら、30分後、再びログインしました。
ところが、新しいパスワードでログインできません。試しに、古いパスワードを使用してみると、ログインできました。まだパスワードが変更されていないのでしょうか。
しかし、残高を見たヨシオさんは、真っ青になりました。ほんの数分前に、預金が全額、引き出されていたのです。
「パスワードを変更してください」というのは、なりすましサイトへの入り口で、アドレスバーやステータスバーが表示されていないために、それがわからなかったのでした。
よくよく考えると、「サイト書き換え」という、関知されやすいことをやっているなぁ。。。
「セキュリティ強化の一環として、パスワードの暗号化ロジックを変更しました。申し訳ございませんが、強化されたセキュリティを有効にするため、以下のサイトからパスワードの変更をしてください」と書かれた、リンク入りのメールが送られてきた、、、の方がいいかな?
-----
いま、Writing Secure Code という本を読んでいるのですが、その2章に、こんな言葉がありましたので、紹介しておきます。
「ある人にとっては“機能”でも、他の人には“攻撃可能点(エクスプロイト)”かもしれない」
[ メッセージ編集済み 編集者: Jitta 編集日時 2006-04-11 22:11 ]
|
貴重なご意見ありがとうございます。
今の私には無い観点でのアドバイスはとても重要です。
|