<20190814追記>
EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。
</追記終わり>
補遺って使って見たかったw(挨拶)。そういうわけで、これは補遺じゃないという指摘は受けないw。
三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明な において、AndroidのChromeで証明書のチェック・参照が可能というご指摘を頂いた。
最初にコメント欄で下記のように書かれたときは、外出中だったしイラっとしたんでまあ無視していたw。なんでテストしなかったかって?インストールしていなかったからだよ。そんなもん疑問wを呈されてもなあww。
そして帰って来て一応確認しておくかと思って、ThinkPad Tabletは5歩先なのでVMware Player上のAndroid-x86のKitKat(作り方)で確認しようとした。結果は下記の通り。
ということで放っていたのだが、メキシコ─カメルーン戦に合わせて起きたら、ブコメやツイートで「EV SSL証明書見れるよ」というご指摘を頂いていた。Androidでの結論が変わる可能性もあるため、実機確認を行った。
三菱東京UFJダイレクトのトップ画面。やはりUAを見て制御しているようだ。このまま右の[ログイン]をタップ。
ログイン画面に切り替わると緑の鍵マーク。タップしてみる。
SSLの情報が表示される。EV SSL証明書であることはこの時点で確認できる。証明書情報をタップする。
証明書ビューアが表示され証明書の詳細情報を参照できる。
今度は先ほどの[スマートフォン版はこちら]バナーをタップする。ここの画面はまだhttp://。[インターネットバンキングログイン]をタップする。
ログイン画面一緒やがな。別のスクショであることは間違い探しのクイズということでw。後続は同じなので省略。
比較対象としてfacebookのログイン画面。緑色の鍵マークが出ているのでタップする。
SSL情報は下記の通り。EV SSL証明書ではないことがわかる。一応、証明書情報をタップする。
ということで、Androidの他のブラウザに比べると詳細の証明書情報まで確認できることがわかる。しかし、オレはこの時点で徒労感に襲われている。というか、上で下線を引いた時点で頭に来ているんだけどなw。
元々「利用者にはURLではなくEV SSL証明書をチェックさせろ」という話は、Windowsでの3ブラウザ、OS Xの2ブラウザなどのように、詳細な証明書情報を参照せずともEV SSL証明書を使っていることが明確に示される必要がある。つまりURL欄で判別できなければいけない。facebookログイン画面での比較で分かるように、Android版Chromeではhttps://であることは分かるのだが、通常のSSLサーバ証明書とEV SSL証明書で差異が無い。
当たり前の話だが、インターネットバンキングの利用者はIT系のエンジニアばかりではない。エンジニア以外が多数と考える方が普通。あれこれ操作せず≪見て分かる≫というのは大きなファクター。また、インターネットバンキングを実現するためには複数の画面で遷移する必要があるわけだが、画面が切り替わるごとに証明書情報参照させるわけ?CSRFなどを突かれて正規の画面遷移をしていない可能性がある時、画面毎に証明書をチェックさせるのなら、URLのチェックと手間も危険性(面倒になって見ない・見落とす)も大差ない。
三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明な ではあえて色覚異常の話は書かなかったが、EV SSL証明書の明示方法が緑色なので、ユーザビリティ上の問題がある。アナウンスする上では緑色が苦手な人も考慮しておく必要がある。そのため証明書の中身まで見ていった。本来的には証明書の内容をチェックできるからOKなんじゃなくて一目で分かる差異が必要。
というわけでiOS版Safariについて、評価に誤りがあることに気付いた。申し訳ない。まず三菱東京UFJダイレクトのログイン画面を再掲。緑色の鍵マーク。
比較対象としてfacebookのログイン画面。力尽きてここまで見ていなかったのがミス。同じく緑の鍵マーク。これは良くない。通常のSSLサーバ証明書とEV SSL証明書の違いが無い。
もちろん鍵マークをタップすれば、証明書の違いは明確ではあるのだが。
三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明な の方も追記・修正しておくが、結論としてはAndroid版Chromeも合格点に達しない。及びiOS版Chromeも合格点に達しない。鍵マークが色違いになるAndroid版Firefoxにも負ける。
てなことで2000文字越えw。では。