アカウント名:
パスワード:
ログインページとその後のページはSSLつけるのMUSTだと思うけど。ランディングページってSSLにしなきゃいけない理由ってあるんだっけ。
掲載されてる内容が正規の確かなものであることが確認できる。信用を扱う銀行なら当然かと。ただでさえフィッシング詐欺のターゲットになってるのに。通常ならお客に「https以外でアクセスしないで」というべきものだよ。
ただこれでもリテラシーの高くない人は、URLと証明書を確認しないから、証明書付きの偽サイトと区別つかなかったりするのは問題。こればかりはどうしようもないけど、httpsでない偽サイトは排除できるから有効。
今回ログインページのSSLは外していないのでフィッシング関係ないと思うけど。ランディングページにそこまで機密性の高い情報載せるの?
http と https ユーザーが選択できるべきっていうのはひとつだと思うけど、ユーザーが情報を送信するページ以外でSSLにすべき理由はないんじゃないの?ランディングページが https で閲覧できないからといって、何か攻撃手法につながるとは思えないだよね。
ランディングページにそこまで機密性の高い情報載せるの?
機密性じゃなく信頼性の問題。普通にフィッシングで釣る方法もあるし、DNSイジるとか。ログイン方法変更しただとか、警告は無視していいとか、なにかでっち上げて書いておけば騙される人もいるでしょ。
ダウト。DNSいじれるんならSSLすでに役に立たないでしょ。それは別問題。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
この対応って問題なの? (スコア:0)
ログインページとその後のページはSSLつけるのMUSTだと思うけど。
ランディングページってSSLにしなきゃいけない理由ってあるんだっけ。
Re: (スコア:1)
掲載されてる内容が正規の確かなものであることが確認できる。
信用を扱う銀行なら当然かと。ただでさえフィッシング詐欺のターゲットになってるのに。
通常ならお客に「https以外でアクセスしないで」というべきものだよ。
ただこれでもリテラシーの高くない人は、URLと証明書を確認しないから、証明書付きの偽サイトと区別つかなかったりするのは問題。
こればかりはどうしようもないけど、httpsでない偽サイトは排除できるから有効。
Re: (スコア:0)
今回ログインページのSSLは外していないのでフィッシング関係ないと思うけど。
ランディングページにそこまで機密性の高い情報載せるの?
http と https ユーザーが選択できるべきっていうのはひとつだと思うけど、
ユーザーが情報を送信するページ以外でSSLにすべき理由はないんじゃないの?
ランディングページが https で閲覧できないからといって、何か攻撃手法につながるとは思えないだよね。
Re: (スコア:0)
ランディングページにそこまで機密性の高い情報載せるの?
機密性じゃなく信頼性の問題。
普通にフィッシングで釣る方法もあるし、DNSイジるとか。
ログイン方法変更しただとか、警告は無視していいとか、なにかでっち上げて書いておけば騙される人もいるでしょ。
Re:この対応って問題なの? (スコア:0)
ダウト。
DNSいじれるんならSSLすでに役に立たないでしょ。
それは別問題。
Re:この対応って問題なの? (スコア:1)
DNSを偽装してサイトAとサイトBと思わせても、攻撃者はサイトAの証明書は持っていないから、サイトBであることしか証明できない。