ここの銀行のセキュリティって甘そう
191 :ニュー速+板で:
東海銀行がUFJ銀行のログインページを作っているんだけど、
ログインページにSSLがかかっていないから、偽装の可能性。
http://www.csweb.co.jp/TBK/ufj/login.htm
ログインできない問題の方が大きいのか、契約番号とかが筒抜けに
なる問題のほうが大きいのか、っていうことなのかな?
ログインページにSSLがかかっていないから、偽装の可能性。
http://www.csweb.co.jp/TBK/ufj/login.htm
ログインできない問題の方が大きいのか、契約番号とかが筒抜けに
なる問題のほうが大きいのか、っていうことなのかな?
|
|
|
192 :名無しさん@お腹いっぱい。:02/01/15 12:35
ログインボタンを押した次の画面が https のようだけど?
FORM NAME="SEND" ACTION="https://sso.ufjbank.co.jp/sso/dfw" METHOD="POST" onSubmit="return OK()">
FORM NAME="SEND" ACTION="https://sso.ufjbank.co.jp/sso/dfw" METHOD="POST" onSubmit="return OK()">
193 :191:02/01/15 12:43
>>192
ログイン先は問題ないんだけど、こういうのってどうなんだろうって。
誰か親切で、こういう銀行のログインページを作ってあげてもいいのかな?
※作った本人には契約番号とかはわからないのは理解してます。
で、あちこちにログイン用ポータルができたときに、ログインボタンのポスト先を
「まれに」適当なサイトにしておく。
ログイン先は問題ないんだけど、こういうのってどうなんだろうって。
誰か親切で、こういう銀行のログインページを作ってあげてもいいのかな?
※作った本人には契約番号とかはわからないのは理解してます。
で、あちこちにログイン用ポータルができたときに、ログインボタンのポスト先を
「まれに」適当なサイトにしておく。
194 :名無しさん@お腹いっぱい。:02/01/15 12:59
>>193
http://www.csweb.co.jp/TBK/ufj/login.htm
が改竄されていないことが保証されていないね。SSLじゃないから。
あと、DNS spoofingでドメイン名が csweb.co.jp でも、ニセのIPアドレスに
アクセスさせられていないとは限らないね。
そういったことがないことを保証するのも SSL の役割。
ちなみに、
> 誰か親切で、こういう銀行のログインページを作ってあげてもいいのかな?
他所のドメインにログインページがあっても、それを信じてしまうのは信じる者の責任。
基本的には信じちゃいけない。
ところで、csweb.co.jp ってドメイン、どこの会社のもの?
http://www.csweb.co.jp/TBK/ufj/login.htm
が改竄されていないことが保証されていないね。SSLじゃないから。
あと、DNS spoofingでドメイン名が csweb.co.jp でも、ニセのIPアドレスに
アクセスさせられていないとは限らないね。
そういったことがないことを保証するのも SSL の役割。
ちなみに、
> 誰か親切で、こういう銀行のログインページを作ってあげてもいいのかな?
他所のドメインにログインページがあっても、それを信じてしまうのは信じる者の責任。
基本的には信じちゃいけない。
ところで、csweb.co.jp ってドメイン、どこの会社のもの?
195 :名無しさん@お腹いっぱい。 :02/01/15 13:09
http://www.csweb.co.jp は、UFIT Internet Service。
ホムペ見てちょ。
ホムペ見てちょ。
196 :名無しさん@お腹いっぱい。:02/01/15 13:25
Domain Information: [ドメイン情報]
a. [ドメイン名] CSWEB.CO.JP
e. [そしきめい] かぶしきかいしゃ しーえすせぶん
f. [組織名] 株式会社 シーエスセブン
g. [Organization] CS7 Co., Ltd.
UFJ銀行との関係がよくわからない会社。
さらに、https:// のページのサーバ証明書の内容が
CN = www.csweb.co.jp
OU = Technology dept. 2
O = Central Systems Co.,Ltd.
OU = Member, VeriSign Trust Network
OU = Authenticated by VeriSign Japan K.K.
OU = Terms of use at www.verisign.co.jp/RPA (c)00
L = Nagoya
S = Aichi
C = JP
で、これまた会社名が別。
あなたは何を信じますか?
a. [ドメイン名] CSWEB.CO.JP
e. [そしきめい] かぶしきかいしゃ しーえすせぶん
f. [組織名] 株式会社 シーエスセブン
g. [Organization] CS7 Co., Ltd.
UFJ銀行との関係がよくわからない会社。
さらに、https:// のページのサーバ証明書の内容が
CN = www.csweb.co.jp
OU = Technology dept. 2
O = Central Systems Co.,Ltd.
OU = Member, VeriSign Trust Network
OU = Authenticated by VeriSign Japan K.K.
OU = Terms of use at www.verisign.co.jp/RPA (c)00
L = Nagoya
S = Aichi
C = JP
で、これまた会社名が別。
あなたは何を信じますか?
会社名 : 株式会社ユーフィット
事業内容 : 1.電子計算機などを利用する情報処理システム開発、ソフトウエア開発ならびに計算
株 主 : 株式会社UFJ銀行 UFJ信託銀行株式会社
株式会社日立製作所 株式会社UFJカード
日本アイ・ビー・エム株式会社 株式会社セントラルファイナンス
ティアイエス株式会社 株式会社UFJキャピタル
あいおい損害保険株式会社 岡谷鋼機株式会社
セントラルリース株式会社 中京テレビ放送株式会社
エヌ・ティ・ティ・コミュニケーションズ株式会社 株式会社ジェーシービー
つばさ証券株式会社 東海東京証券株式会社
日本興亜損害保険株式会社 日本ヒューレット・パッカード株式会社
日本オラクル株式会社 株式会社東海総合研究所
株式会社三和総合研究所 太陽生命保険相互会社
大同生命保険相互会社 他
(2002年1月現在)
事業内容 : 1.電子計算機などを利用する情報処理システム開発、ソフトウエア開発ならびに計算
株 主 : 株式会社UFJ銀行 UFJ信託銀行株式会社
株式会社日立製作所 株式会社UFJカード
日本アイ・ビー・エム株式会社 株式会社セントラルファイナンス
ティアイエス株式会社 株式会社UFJキャピタル
あいおい損害保険株式会社 岡谷鋼機株式会社
セントラルリース株式会社 中京テレビ放送株式会社
エヌ・ティ・ティ・コミュニケーションズ株式会社 株式会社ジェーシービー
つばさ証券株式会社 東海東京証券株式会社
日本興亜損害保険株式会社 日本ヒューレット・パッカード株式会社
日本オラクル株式会社 株式会社東海総合研究所
株式会社三和総合研究所 太陽生命保険相互会社
大同生命保険相互会社 他
(2002年1月現在)