いろいろやってみるにっき

てきとーに生きている奴の日記

古いエントリのサムネイル画像がリンク切れになってたりするけど、チマチマ修正中


【補遺】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。

<20190814追記>

EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。

 

</追記終わり>

 

補遺って使って見たかったw(挨拶)。そういうわけで、これは補遺じゃないという指摘は受けないw。

 

三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明な において、AndroidChromeで証明書のチェック・参照が可能というご指摘を頂いた。

最初にコメント欄で下記のように書かれたときは、外出中だったしイラっとしたんでまあ無視していたw。なんでテストしなかったかって?インストールしていなかったからだよ。そんなもん疑問wを呈されてもなあww。

f:id:shigeo-t:20140614020838p:plain

そして帰って来て一応確認しておくかと思って、ThinkPad Tabletは5歩先なのでVMware Player上のAndroid-x86KitKat(作り方)で確認しようとした。結果は下記の通り。

f:id:shigeo-t:20140614021432p:plain

ということで放っていたのだが、メキシコ─カメルーン戦に合わせて起きたら、ブコメやツイートで「EV SSL証明書見れるよ」というご指摘を頂いていた。Androidでの結論が変わる可能性もあるため、実機確認を行った。

 

三菱東京UFJダイレクトのトップ画面。やはりUAを見て制御しているようだ。このまま右の[ログイン]をタップ。

f:id:shigeo-t:20140614021717p:plain

ログイン画面に切り替わると緑の鍵マーク。タップしてみる。

f:id:shigeo-t:20140614023113p:plain

SSLの情報が表示される。EV SSL証明書であることはこの時点で確認できる。証明書情報をタップする。

f:id:shigeo-t:20140614023213p:plain

証明書ビューアが表示され証明書の詳細情報を参照できる。

f:id:shigeo-t:20140614023528p:plain

今度は先ほどの[スマートフォン版はこちら]バナーをタップする。ここの画面はまだhttp://。[インターネットバンキングログイン]をタップする。

f:id:shigeo-t:20140614023832p:plain

ログイン画面一緒やがな。別のスクショであることは間違い探しのクイズということでw。後続は同じなので省略。

f:id:shigeo-t:20140614023928p:plain

比較対象としてfacebookのログイン画面。緑色の鍵マークが出ているのでタップする。

f:id:shigeo-t:20140614024232p:plain

SSL情報は下記の通り。EV SSL証明書ではないことがわかる。一応、証明書情報をタップする。

f:id:shigeo-t:20140614024315p:plain

通常のSSLサーバ証明書の情報が表示されている。

f:id:shigeo-t:20140614024442p:plain

 

ということで、Androidの他のブラウザに比べると詳細の証明書情報まで確認できることがわかる。しかし、オレはこの時点で徒労感に襲われている。というか、上で下線を引いた時点で頭に来ているんだけどなw。

 

元々「利用者にはURLではなくEV SSL証明書をチェックさせろ」という話は、Windowsでの3ブラウザ、OS Xの2ブラウザなどのように、詳細な証明書情報を参照せずともEV SSL証明書を使っていることが明確に示される必要がある。つまりURL欄で判別できなければいけない。facebookログイン画面での比較で分かるように、AndroidChromeではhttps://であることは分かるのだが、通常のSSLサーバ証明書EV SSL証明書で差異が無い。

 

当たり前の話だが、インターネットバンキングの利用者はIT系のエンジニアばかりではない。エンジニア以外が多数と考える方が普通。あれこれ操作せず≪見て分かる≫というのは大きなファクター。また、インターネットバンキングを実現するためには複数の画面で遷移する必要があるわけだが、画面が切り替わるごとに証明書情報参照させるわけ?CSRFなどを突かれて正規の画面遷移をしていない可能性がある時、画面毎に証明書をチェックさせるのなら、URLのチェックと手間も危険性(面倒になって見ない・見落とす)も大差ない。

三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明な ではあえて色覚異常の話は書かなかったが、EV SSL証明書の明示方法が緑色なので、ユーザビリティ上の問題がある。アナウンスする上では緑色が苦手な人も考慮しておく必要がある。そのため証明書の中身まで見ていった。本来的には証明書の内容をチェックできるからOKなんじゃなくて一目で分かる差異が必要。

 

というわけでiOSSafariについて、評価に誤りがあることに気付いた。申し訳ない。まず三菱東京UFJダイレクトのログイン画面を再掲。緑色の鍵マーク。

f:id:shigeo-t:20140612161350p:plain

比較対象としてfacebookのログイン画面。力尽きてここまで見ていなかったのがミス。同じく緑の鍵マーク。これは良くない。通常のSSLサーバ証明書EV SSL証明書の違いが無い。

f:id:shigeo-t:20140614032027p:plain

もちろん鍵マークをタップすれば、証明書の違いは明確ではあるのだが。

f:id:shigeo-t:20140614032439j:plain

 

三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明な の方も追記・修正しておくが、結論としてはAndroidChromeも合格点に達しない。及びiOSChromeも合格点に達しない。鍵マークが色違いになるAndroidFirefoxにも負ける。

 

てなことで2000文字越えw。では。

お時間あったら、他のエントリもクリックして頂ければ幸いです。