それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

自動入力を妨害する最悪な実装(これセキュリティなの?)

銀行で自動入力を妨害するのは罪

ある銀行がパスワードの自動入力を妨害してくる。

自動入力が発動しないのでHTML調査

なんと、dummypass という passwordがありました。

自動入力のほうが安全です。

自動入力が危険だったのは「昔の話」です。昔は、自動入力のデータをウイルスに狙われました。今は、もう狙われません。というより、ウイルス感染の危険性がほぼゼロです。なんならiPhoneはすごく安全です*1

自動入力が安全な理由

主な利点は次の点です。

  • 自動入力は「フィッシングサイト」に気づける。
  • 自動入力は「複雑なパスワードを使える」
  • 自動入力は「ショルダーハッキングに強い」
  • 自動入力は「使い回し防止」になる
  • 自動入力は「入力前に顔認証」できる

とんでもなく、メリットが大きいです。使わない理由なんて無いんです。

自動入力妨害をしていたであろう理由はもうない

パスワードが盗まれるリスクがほぼ無いのですから、「自動入力を妨害する意味」はもう無いんですね。

デメリットの逆転

つまり、妨害により得られるメリットとデメリットの関係性が逆転しているのです。

技術の進歩によりセキュリティのメリット・デメリットが逆転しているのです。

いつまでも昔のテンプレをコピーして給与がもらえるとか、JTCは老害ですね。このダミー行為のために、「何人ものコンサルと上長と現場担当が会議をしている」と考えると恐ろしいですね。

セキュリティは棚卸しが必要

セキュリティは「リスクに応じて対策する」というのが基本です。昔のセキュリティ対策を見直しもせずに、コレが安全です。と利用者に提示するのは罪深いし、ましてやこっそり妨害行為とは許しがたいのです。

予算や知識がないのでなく、怠慢なのです。

過去の発見

自動入力は安全なのにいつまでも妨害する意味がわからない銀行たちの過去の記録など。

*1: サイドローディングという安全性を破壊する方法を日本政府は導入しようとしていますが、とても危険なことです。