しばらく放置してしまいました。色々とありまして、めっさ忙しかったのです・・・。
で、たまたまネットを徘徊していたら、面白い記事があったのでご紹介。
・・・フィッシング対策解説は糞ばかり
http://takagi-hiromitsu.jp/diary/20070407.html
ちょっと馴染みが無い方もいるので、一言で言うと「オンライン詐欺について」です。
それについて、企業への様々な警告ですね。
内容的にはすっごく正しくて共感も持てるのですが、ちょっと理想論(希望)が入っている気がしました。
ユーザーの環境って思った以上に劣悪なんです。
今まで企業からユーザーまで色々な所でサポートを行ってきている、自分の経験上のお話。
例えば、MSの解説ページの話。
ブラウザの脆弱性は修正されてアドレスバー偽装ができなくなったのですが、まずパッチを当てているユーザーの少なさ。
(ちょっとパソコン使っている人って、パッチを当てるという行為を今だによく理解していない)
そもそもMSのフィッシング警告ページを見に行く事すら無いと思います。
で、「たまたま見に来た人用 & 企業としてとりあえずやっておく & ユーザー環境がまちまち」な妥協点が、あの記事に落ち着いているんだと思います(内容の是非はともかく)
完全にユーザーの環境が固定されていて、かつ完全にスキの無いブラウザ なら、アドレスも確認せず機械が自動で全部確認してくれてセキュアな環境ができるのでしょうが・・・
話を戻します。
URLと証明書の確認、これってホントに無意味です。
そもそも、アドレス自体が無茶苦茶ですから。
自分はネットワーク屋を営んでおりますので、これについてはホントに同意。
常陽銀行のリニューアルに期待したがその期待は裏切られた
http://takagi-hiromitsu.jp/diary/20070408.html
これ。chance.co.jp なんて、普通の人の視点から見るとまったくもって意味がわからない。
いくら証明書を確認してURLと証明書が合ってたとしても、そのURL自体がサービスを提供している会社のモノか判らないです。
例えば、 .com の証明書なんて InstantSSL辺りで1万円ちょいで買えます。
これなら警告も出ないし、正しい証明書として使えるわけで。
先日、.comドメインを取ったんですが、2年で2000円。詐欺サイト作ろうと思ったら2万で釣りが来ます。
サービスを提供する側の意見も(自分がそうなので)わからなくは無いですが、ユーザーが直感的に判るもので無いと確認をさせる意味が無いと思います。
これもまぁDNS spoofingされたら一緒ってや一緒ですが、よっぽどアヤシゲなサイトでアヤシイモノを入手して実行させないと難しいですしね。
機能増やすだけじゃなくて、もっと根本的な安心して使えるソフトウエアの登場が待たれます。
そうすれば、意味も無い証明書表示の確認とかしなくていいし。
後は、もっとユーザー意識の格上げが必要ですね。
ちょっと言いすぎかも知れませんが、自分が使っているソフトは自分の身を滅ぼしかねないんだよ?って意識が必要だと思います。
それには大企業の牽引が絶対必要なんですけどね・・・
高木先生が指南書を書いてくれれば楽なのに(笑)と思ったり、思わなかったり。
しかし銀行系のこういうシステムの状況を見る限り、(政治的な胡散臭い話が無ければ)技術レベルではまだまだ付け要る隙はあるのかも知れないなぁと思いました。
逆に言えば、大半は政治的な胡散臭い話に巻き込まれてユーザーそっちのけなのかな・・・。
確かにソリューションとして既存のモノがあって稼動実績があれば、新規で構築するより安いし。
システム屋はどこも胡散臭い(笑)し、誰かの紹介でも無ければ使わないでしょうし。
自分もシステム屋として頑張らなければな、と思いました。