それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

オレオレ拡張機能をインストールしろという三井住友銀行(セキュアブレインの脆弱なセキュリティ)

三井住友銀行を見てたんですよ。

三井住友銀行が、セキュアブレイン社の、PhisWallをインストールしろ

PhishWallをインストールしろと書いてあって。

クソでした。

f:id:takuya_1st:20160523223613j:plain

Safari拡張機能は安全性を宣言するなら、列記とした証明書と署名が確認できる、拡張機能を配布するべきだ。

拡張機能配布がHTTP

しかも配布元が HTTP です。 HTTPS ですらありません。

しかも、配布説明のサイトも HTTP です。

いくらでも改善できる場所(HTTP)にオレオレ拡張機能を置いて、セキュアだとかどの口が言ってんだこいつら。

自社サイトで拡張機能を配布するから→当然未署名

とうぜん、オレオレ署名です。Safari拡張機能として不適合ですよね。

このようなことを防ぐためにSafari拡張はDeveloperIDと公式配布の必須化だったよね。。。

もしかしてApple審査通らない?通らないのようなものをインストールさせようとしてる?

セキュリティソフトをHTTPで配布すんな

セキュリティソフトのpkg を HTTP で配布する?改竄されたらどうすんだよコレ。

もしHTTPで配布するなら、配布元の署名を確認する方法掲載しておくべきですよね。

f:id:takuya_1st:20160523224259j:plain

私達はどうするべきか。

セキュリティやプライバシーに関する情報やソフトウェアをHTTPで配布しているのは疑ってかかる。

未署名のものは疑ってかかる。

OSが常に最上位に信頼できる。OS以上に信頼できるものは自分だけ。

OSを常に最新版にしておく、OSに従う。

OSのセキュリティ警告を無視して「OK押せ」という業者のは信用してはいけない。

セキュリティの基本は、 OSのセキュリティを守ることだ。

OSのセキュリティを危うくする行為をまるで「正当」であるかのように伝達する。嘘です。このような嘘やその場しのぎ対応を、セキュリティを商売にする人が言ってはいけない。

どうあるべきか

セキュリティソフトをHTTPで配布しているのが問題。

いますぐ配布ページをHTTPSに変えろ

インストールの説明(署名確認方法)が無いのが問題。

いますぐ、パッケージ署名確認方法を提示するか、

いますぐMac AppStoreで配布しろ

自社サイトで配布するなら、パッケージ署名の確認方法を掲載しろ!

拡張機能をHTTPで未署名配布するのやめろ

いますぐ、Safari拡張機能Safari拡張機能ギャラリー経由で配布しろ。

私達ができる パッケージ署名の確認方法

いますぐ私達ができるのは、パッケージ署名の確認をすることだ。

f:id:takuya_1st:20160523224458j:plain

f:id:takuya_1st:20160523224027j:plain

銀行関連はもうセキュリティ名乗るな

こんなものを「セキュア」だと曰わくのは、最低だと思う。

証明書と署名は、小学校で必修化したら良いと思う。

セキュリティを守る以前に、セキュアブレイン社のソフトが改竄に脆弱な形で配布されているのは、嘆かわしいことだ。

哀れな被害者が、偽セキュアブレインの偽フィッシング対策ソフトを入れさせる、偽セキュアブレイン社のフィッシングサイトに引っかかっても止める手段を講じてないんだから。それでもフィッシング対策なのか??