パスワードの話はこっち→ゆうちょ銀行のパスワード紛失したので、再発行手続したら、コーヒー吹いた話。
ゆうちょ銀行のスクレーパー
ゆうちょ銀行のタイムアウトがきついのと、「ホームへ」ボタンを押さないとセッションエラーになるので頭に来た。ブラウザ戻るボタン。押させろよ。
ちょっと本気スクレーパーを書いてやった。スクレーパーを書いて気づいた。ゆうちょ銀行のオンラインは色々終わってた。(後述)
ゆうちょ銀行は
ゆうちょ銀行にはログインのために以下の3つが必要になる。
- ID 1234-5678-09876
- 合言葉 [質問,回答][質問,回答][質問,回答]
- パスワード
リクエストの仕組み。ボタン押した時にFormにActionとhidden eventを入れてSubmitする。
これだけわかればあとは簡単。
サンプル
require 'yucho_bank.rb' cli = YuchoBank.new #お客様番号 cli.id="6666-9999-33433" #合言葉と回答リスト cli.passphrase_list["初恋の人の名前は何ですか?"] = "恋するために出会うために来ていく服がない" cli.passphrase_list["初めて映画館で見た映画のタイトルは何ですか?"] = "映画館行ったこと無い" cli.passphrase_list["母親の旧姓は何ですか?"] = "天皇家には、苗字はありません" #ログインパスワード cli.password = "****password****" cli.login cli.go_page("現在高照会") puts cli.current_page.search("xpath to amount") cli.go_home() cli.go_page("更新")
こんな感じ
ゆうちょ銀行のタイムアウト早すぎだとおも
いくらなんでも、早すぎだと思う。
現金を動かすトランザクション中にいるならともかく、残高照会で期間を選んでいるうちにタイムアウトするぞ。馬鹿か。
そういう場合は、とりあえず、タイムアウトさせずに、ログイン後のホームへ押し戻しておけばいいものを。
速すぎるタイムアウトにセキュリティ上の意味はない。
「ユーザーがパスワードを暗記してくれる」という反復学習効果しか期待できない。
そして暗記したパスワードは変更しなくなるので、むしろ恐ろしい。
そして暗記したパスワードは話のネタに、安易に教える可能性が高い。
セキュリティとか以前に終わってる
終わってるんですよ。色々と
意味がわからない。ログイン画像。
セキュリティ上の意味は全くない。。。。
これ何の意味があるのか全く理解出来ないんだけど。
一人で複数の口座を持っているときに区別が付くかもしれない
ゆうちょ銀行の公式の解説
公式の解説によるとこうだ。
(スクリーンショット 2012-02-24 15.50.17)
画像の登録をしていただきますと、ログインパスワードを入力する画面上に、ご登録いただいた画像が表示されます。その画像がお客さまご自身で登録したものであれば、ゆうちょダイレクトの正規の画面です。
なるほどー、画像の表示に認証してるんですね。
ってことで画像のパスを見てみたよ
(スクリーンショット 2012-02-24 15.57.34)
<img src="pages/etc/image/TravelCulture/TC19/2005_08_12_415.jpg" alt="旅行・文化 40" height="100" width="100">
え、GET引数持ってないの?そうか、セッションIDで見てるんだね。じゃぁ画像直アクセスは見られないんですよね。
実際の画像URLはこちら。
https://direct2.jp-bank.japanpost.jp/tp1web/pages/etc/image/TravelCulture/TC19/2005_08_12_415.jpg
見れる。サンプル
アカンわ。クズだ。
IMGタグに、丁寧にALTまで入れてる時点で怪しいと思ったんですよねぇ。
ログインシールってのは「Cookieの有無が一目でわかる」からフィッシング詐欺防止に役立つんじゃなかったっけ?
むぅ
画像のURLはすべて同じで、ユーザー毎(Cookie毎)に違う画像を出すなら、意味はまだある。
あと、質問を自分で決められないのがアウトだ。
そして質問内容が失礼すぎる。「母親の旧姓は?」とか、両親が揃ってるイイところのお嬢ちゃんとお坊ちゃんがそのまま、大きくなって大企業に就職して自分の常識を疑ってない好例だよね。母親の旧姓とは大変失礼だと思いました。
ゆうちょ銀行もクズだ
これが日本の技術力()だよ。
第三次オンライン世代の団塊世代はとっと引退しろ。インターネット世代に変えておけ。
