1. Break in the chain of trust: Some websites forward users to new pages that have different domains without notifying the user from a secure page. In this situation, the user has no way of knowing whether the new page is trustworthy.
2. Presenting secure login options on insecure pages: Some sites present login forms that forward to a secure page but do not come from a secure page. This is problematic because an attacker could modify the insecure page to submit login credentials to an insecure destination.
3. Contact information/security advice on insecure pages: Some sites host their security recommendations, contact information, and various other sensitive information about their site and company on insecure pages. This is dangerous because an attacker could forge the insecure page and present different recommendations and contact information.
4. Inadequate policies for user ids and passwords: It is important to maintain consistent and strong policies on passwords and user ids. We found some sites allow customers to use short passwords or they require e-mail addresses for user names.
5. E-Mailing security sensitive information insecurely: E-mailing any sensitive information is dangerous. We found that some sites offered to send statements and passwords through email but not very many people have secure e-mail.
1. Break in the chain of trust:
2. Presenting secure login options on insecure pages:
3. Contact information/security advice on insecure pages:
日本でも状況はあまり変わらない (スコア:1)
論文 [cmu.edu]にてきとーに目を通してみました。
以下、INTRODUCTION より抜粋。
#英語MANが読めるぐらいなら軽く読めるかと思います
1. Break in the chain of trust:
2. Presenting secure login options on insecure pages:
3. Contact information/security advice on insecure pages:
以上3点に問題がない銀行ウェブサイトがどれだけあるでしょうか…。どれかが引っかかる、あるいは、全部ひっかかるのでは?
それらを満たしていないことによって、以下のようなことが起こりえるでしょう。
・普段使っているインターネットバンキングのログインページ(https:~)をブックマークから開いたが繋がらず
/* 経路上で阻害されていたり、hostsファイルを改竄されていたり */
・どうしたのだろうと思い、その銀行のWebサイト(http:~)を開く。インターネットバンキングの設定変更を促すお知らせ(http:~)があり、そこからリンクを辿ってログインページ(https:~)を開き、ログイン
/* 銀行のWebページが経路上で改竄されたりそもそも別サイトに繋がっていたりして、罠のログインページに誘導された。罠サイトの証明書自体が正式な物ならば、SSL関連の警告は出ない(*) */
→ID・パスワード・乱数表などを取得される。ワンタイムパスワードの類であっても、振り込み操作に割り込まれて意図しない口座への振り込み等が行われる
逆に、それらを満たしていれば、改竄や罠サイトへの誘導に気づくチャンスがあります。チャンスがあるだけなので、注意していなければ気づかないかもしれませんが。
*:SSL関連の警告は出ない
EV SSLと対応ブラウザなら、運営者が異なっていたり罠サイトがEV SSLに対応していなかったりで、気づくかも。