アカウント名:
パスワード:
気持ちは判らんでもないけど、セキュリティ対策としてどうよ、ってものタマに見かけますねぇ。
最近見つけたのだと某米系ネットバンキングの問い合わせのテキスト入力画面で、>, < あるいは SQL の断片的な文字列が使えません、って注意書きがあって... なんか脱力した。
%% 大きな傘を導入した副作用だろうけど
私が使ってる某証券会社のサイトは、ログアウトのボタンを押して「ログアウトしました」という画面がでてもそこからログイン後最初に表示される画面までブラウザの戻るボタンで戻ってリロードし「フォームデータを再送信する必要があります・・・」というポップアップのOKボタンを押すとIDもパスワードも入力せずに再ログインできてしまいます。セキュリティ上の都合なのか、ログイン後一定時間操作しなかったら自動でログアウトする仕様になっていますがこんな穴があるんなら意味無いですね。
「リロードで再送信」する場合は、以前に送信された内容をそのまま送信するんですよね?それならフォームに、フォームが表示されるごとに変化するユニークな値を隠し属性などで入れておいて送信時にIDとパスと一緒にその値も一緒に送信するようにするんじゃダメですかね。サーバ側でその値を記録しておいて、一度ログインに使われた値がもう一度使われようとしている場合は、IDとパスが一致してもログインしないようにすると。
そのあたり詳しくないんでもっといい方法があるかもしれませんけど。
このシステム、どうもバグがあるように感じます。どう考えてもこれしか登録してないというのを入れても違うと言われてロックされました。しかも一度ロックされると電話で依頼しないと解除されません。営業時間外だったら翌営業日までは使えません。
まあ、みずほのネットバンクはサービス開始当初から今までずっとひどいままですよ。
私もありました。おそらく他の人がお客様番号を間違えて、そのまま間違った暗証を入れてロックしてくれたんじゃないかと推測します。これを応用すれば、みずほオンラインバンキングの全ての口座をロックしてしまう事も可能ですね。恐ろしい。いざと言う時に使えなかったし、全然信用できないので、今はもう放置してます。
>これを応用すれば、みずほオンラインバンキングの全ての口座をロックしてしまう事も可能ですね。恐ろしい。これって他の銀行ではどうなんでしょう?ロックされてもATMは使えるのかも知れませんが。
そういった質問に答える系は、馬鹿正直に答えない方が宜しいのでは?例えば「好きな食べ物は?」に、本当に好きな食べ物「讃岐うどん」を合言葉にするより脳内で(で有名な県は?)と補完して、「香川県」を合言葉にしたほうが自分の記憶にも残るし、他人から推測もされにくいと思います。
>「好きな食べ物は?」に、本当に好きな食べ物「讃岐うどん」を合言葉にするよりたとえばこんな感じでしょうか?問:「好きな食べ物は?」回答例:「赤犬」「エロ本」「可愛い女の子」
いや、あくまで一例としての話ですよ?
>問:「好きな食べ物は?」>回答例:「赤犬」「エロ本」「可愛い女の子」
ここで「小女子」と入力してツーホーされるんですね(´・ω・`)
>「出身校は?」などに全く関係のない人名アイドルとかエロゲのヒロインとか?
なんとなく、痛オンライン支店を作ればそれなりに営業できるって感じもして来た。痛カードなら前から有るか。
ですよねー。そもそも好きな食べ物なんて馬鹿正直に入力したら、周りの人間でも、場合によっちゃ日本人が好きそうな食べ物入れてったらあたりますからねぇ・・・。
私ですか? 私はたいてい「好きな食べ物は?」とかに「リマインダーなんて使わん。qawserftgyu」とかそんな感じに入れています。 間違えたらアウトですが、何とか覚えられるパスワード使うほうがまだマシだろう、という理論です。はい。
# レパートリーが尽きて、同じパスワードいろんなところで使いまわしているけど・・・(汗
>和製IT用語は兎に角紛らわしい。
フジエアー [wikipedia.org]ですね? 分かります!!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
微妙なセキュリティ対策 (スコア:1)
気持ちは判らんでもないけど、セキュリティ対策としてどうよ、ってものタマに見かけますねぇ。
最近見つけたのだと某米系ネットバンキングの問い合わせのテキスト入力画面で、>, < あるいは SQL の断片的な文字列が使えません、って注意書きがあって... なんか脱力した。
%% 大きな傘を導入した副作用だろうけど
の
リロードしてフォームデータを再送信 (スコア:2, 興味深い)
私が使ってる某証券会社のサイトは、
ログアウトのボタンを押して「ログアウトしました」という画面がでても
そこからログイン後最初に表示される画面までブラウザの戻るボタンで戻って
リロードし「フォームデータを再送信する必要があります・・・」というポップアップの
OKボタンを押すとIDもパスワードも入力せずに再ログインできてしまいます。
セキュリティ上の都合なのか、ログイン後一定時間操作しなかったら自動でログアウトする仕様になっていますが
こんな穴があるんなら意味無いですね。
Re: (スコア:0)
サーバーは、リロードで送信された情報(ID,PASS)なのか、手入力なのかを知ることはできません。
防ぐ方法としては、チャレンジ&レスポンスなどを利用することでしょうか。なかなかやってるサイトはないですね。
Re: (スコア:0)
「リロードで再送信」する場合は、以前に送信された内容をそのまま送信するんですよね?
それならフォームに、フォームが表示されるごとに変化するユニークな値を隠し属性などで入れておいて
送信時にIDとパスと一緒にその値も一緒に送信するようにするんじゃダメですかね。
サーバ側でその値を記録しておいて、一度ログインに使われた値がもう一度使われようとしている場合は、
IDとパスが一致してもログインしないようにすると。
そのあたり詳しくないんでもっといい方法があるかもしれませんけど。
合い言葉もおかしいんですよね (スコア:0)
「好きな食べ物は?」とか、その都度嗜好がブレる可能性が高い物が多く、入力ミスで何回もログインがロックされました。
Re:合い言葉もおかしいんですよね (スコア:2)
このシステム、どうもバグがあるように感じます。
どう考えてもこれしか登録してないというのを入れても違うと言われてロックされました。しかも一度ロックされると電話で依頼しないと解除されません。営業時間外だったら翌営業日までは使えません。
まあ、みずほのネットバンクはサービス開始当初から今までずっとひどいままですよ。
[udon]
Re: (スコア:0)
私もありました。おそらく他の人がお客様番号を間違えて、そのまま間違った暗証を入れてロックしてくれたんじゃないかと推測します。
これを応用すれば、みずほオンラインバンキングの全ての口座をロックしてしまう事も可能ですね。恐ろしい。
いざと言う時に使えなかったし、全然信用できないので、今はもう放置してます。
Re: (スコア:0)
>これを応用すれば、みずほオンラインバンキングの全ての口座をロックしてしまう事も可能ですね。恐ろしい。
これって他の銀行ではどうなんでしょう?
ロックされてもATMは使えるのかも知れませんが。
Re:合い言葉もおかしいんですよね (スコア:1, 参考になる)
そういった質問に答える系は、馬鹿正直に答えない方が宜しいのでは?
例えば
「好きな食べ物は?」に、本当に好きな食べ物「讃岐うどん」を合言葉にするより
脳内で(で有名な県は?)と補完して、「香川県」を合言葉にしたほうが
自分の記憶にも残るし、他人から推測もされにくいと思います。
Re:合い言葉もおかしいんですよね (スコア:3, おもしろおかしい)
>「好きな食べ物は?」に、本当に好きな食べ物「讃岐うどん」を合言葉にするより
たとえばこんな感じでしょうか?
問:「好きな食べ物は?」
回答例:「赤犬」「エロ本」「可愛い女の子」
いや、あくまで一例としての話ですよ?
Re: (スコア:0)
>問:「好きな食べ物は?」
>回答例:「赤犬」「エロ本」「可愛い女の子」
ここで「小女子」と入力してツーホーされるんですね(´・ω・`)
Re: (スコア:0)
「出身校は?」などに全く関係のない人名(もちろん家族親戚以外)を登録しています。
Re: (スコア:0)
>「出身校は?」などに全く関係のない人名
アイドルとかエロゲのヒロインとか?
Re: (スコア:0)
なんとなく、痛オンライン支店を作ればそれなりに営業できるって感じもして来た。
痛カードなら前から有るか。
Re: (スコア:0)
ですよねー。そもそも好きな食べ物なんて馬鹿正直に入力したら、周りの人間でも、場合によっちゃ日本人が好きそうな食べ物入れてったらあたりますからねぇ・・・。
私ですか? 私はたいてい「好きな食べ物は?」とかに「リマインダーなんて使わん。qawserftgyu」とかそんな感じに入れています。
間違えたらアウトですが、何とか覚えられるパスワード使うほうがまだマシだろう、という理論です。はい。
# レパートリーが尽きて、同じパスワードいろんなところで使いまわしているけど・・・(汗
Re: (スコア:0, オフトピック)
>和製IT用語は兎に角紛らわしい。
フジエアー [wikipedia.org]ですね? 分かります!!