アカウント名:
パスワード:
心配ならネットバンク使わなきゃいい銀行に行ってATM操作して振り込みやらしたらいいATMでのスキミングが心配なら窓口でやればいい
不便?手数料?しらんがな
このソフト入れたら安全って訳でもない入れないよりは安心できるだけ
ブラウザでの口座アクセスを廃止して専用のアプリケーションを用意すればいいそもそも絶対的なセキュリティが求められる物事にリスクの高いブラウザを採用するのが間違い。
専用アプリケーションの開発を考えるなら、それはつまりコストを度外視しているということで、それなら専用アプリケーションだけでなく専用OSと専用マシンを開発し専用回線に専用プロトコルで接続するのが、一番安全で、他のベンダの都合に左右されない一番安定した手段だろう。
まあそんなの当然コストに見合わないし、専用アプリケーションなんて理想論に過ぎない。コストを考慮して選んだ妥協案に対して、理想論を振りかざして「間違い」などと断じても意味がないよね。
専用アプリケーションの開発を考えるなら、それはつまりコストを度外視しているということで、 それなら専用アプリケーションだけでなく専用OSと専用マシンを開発し専用回線に専用プロトコルで接続するのが、 一番安全で、他のベンダの都合に左右されない一番安定した手段だろう。 まあそんなの当然コストに見合わないし、専用アプリケーションなんて理想論に過ぎない。 コストを考慮して選んだ妥協案に対して、理想論を振りかざして「間違い」などと断じても意味がないよね。
専用アプリケーションの開発を考えるなら、それはつまりコストを度外視しているということで、 それなら専用アプリケーションだけでなく専用OSと専用マシンを開発し専用回線に専用プロトコルで接続するのが、 一番安全で、他のベンダの都合に左右されない一番安定した手段だろう。
まあそんなの当然コストに見合わないし、専用アプリケーションなんて理想論に過ぎない。 コストを考慮して選んだ妥協案に対して、理想論を振りかざして「間違い」などと断じても意味がないよね。
いや、明確に 「間違い」 だと断言できます。
フィッシングやMITBを防ぐための専用プラグインなんていうのは、性質上ブラウザのアップデートや他
このトランザクション認証の端末って、PCを使わず残高の確認とかもできるの?セキュリティリスクと言っても不正な振込だけじゃなくて残高の盗み読むとかもある。そのリンク先でひろみちゅ先生が言っている通り、口座番号をそもそも間違って教えられた場合にリスクがあるし、専用端末だけで相手先の口座番号の確認からのすべての手続きが完結しないのであれば、「理想論」が達成されているようには見えないけど……。
三菱東京UFJ銀行の体制が疑わしいのはわかったけど、それならなおのこと専用アプリを開発すれば改善されるというものではないと思う。
> このトランザクション認証の端末って、PCを使わず残高の確認とかもできるの?技術的には可能だろうけど実装はされてないだろうなぁ…7セグ液晶では微妙すぎる。まぁ「広義に解釈すると」って書かてている通り、送金限定の効果と考えればよろしい。> 口座番号をそもそも間違って教えられた場合にリスクがある鍵交換と同じ種類の脆弱性ですね。そこら辺を掘り下げるのは銀行屋の範疇じゃない。汚染状態のPCで口座番号を掴んでしまう状態なら誤解しやすい口座名で突破されますから、「取引先の正しい名称」が得られなければ振込先が端末に表示されても意味がないです。口座名が専用端末に表示される方が攻撃は難しくなりますが、それだけでは防御できません。
完全じゃないから無意味というとこの世の全てがだいたい無意味になってしまいますし、実行可能性とコストを考えたらトランザクション認証は有効化したほうが良いと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
いっそのこと (スコア:0)
心配ならネットバンク使わなきゃいい
銀行に行ってATM操作して振り込みやらしたらいい
ATMでのスキミングが心配なら窓口でやればいい
不便?手数料?
しらんがな
このソフト入れたら安全って訳でもない
入れないよりは安心できるだけ
Re: (スコア:0)
ブラウザでの口座アクセスを廃止して専用のアプリケーションを用意すればいい
そもそも絶対的なセキュリティが求められる物事にリスクの高いブラウザを採用するのが間違い。
Re: (スコア:0)
専用アプリケーションの開発を考えるなら、それはつまりコストを度外視しているということで、
それなら専用アプリケーションだけでなく専用OSと専用マシンを開発し専用回線に専用プロトコルで接続するのが、
一番安全で、他のベンダの都合に左右されない一番安定した手段だろう。
まあそんなの当然コストに見合わないし、専用アプリケーションなんて理想論に過ぎない。
コストを考慮して選んだ妥協案に対して、理想論を振りかざして「間違い」などと断じても意味がないよね。
明確に 「間違い」 だと断言できます (スコア:5, 興味深い)
いや、明確に 「間違い」 だと断言できます。
フィッシングやMITBを防ぐための専用プラグインなんていうのは、性質上ブラウザのアップデートや他
Re: (スコア:0)
このトランザクション認証の端末って、PCを使わず残高の確認とかもできるの?
セキュリティリスクと言っても不正な振込だけじゃなくて残高の盗み読むとかもある。
そのリンク先でひろみちゅ先生が言っている通り、口座番号をそもそも間違って教えられた場合にリスクがあるし、
専用端末だけで相手先の口座番号の確認からのすべての手続きが完結しないのであれば、
「理想論」が達成されているようには見えないけど……。
三菱東京UFJ銀行の体制が疑わしいのはわかったけど、
それならなおのこと専用アプリを開発すれば改善されるというものではないと思う。
Re:明確に 「間違い」 だと断言できます (スコア:0)
> このトランザクション認証の端末って、PCを使わず残高の確認とかもできるの?
技術的には可能だろうけど実装はされてないだろうなぁ…7セグ液晶では微妙すぎる。
まぁ「広義に解釈すると」って書かてている通り、送金限定の効果と考えればよろしい。
> 口座番号をそもそも間違って教えられた場合にリスクがある
鍵交換と同じ種類の脆弱性ですね。そこら辺を掘り下げるのは銀行屋の範疇じゃない。
汚染状態のPCで口座番号を掴んでしまう状態なら誤解しやすい口座名で突破されますから、
「取引先の正しい名称」が得られなければ振込先が端末に表示されても意味がないです。
口座名が専用端末に表示される方が攻撃は難しくなりますが、それだけでは防御できません。
完全じゃないから無意味というとこの世の全てがだいたい無意味になってしまいますし、
実行可能性とコストを考えたらトランザクション認証は有効化したほうが良いと思います。