アカウント名:
パスワード:
平文パスワード認証方式で議論を進めようとしてませんか? いまどきは、ICカードも通信路に暗号をかけるようです。 例えば、felica はこれ [sony.co.jp]や これ [felicanetworks.co.jp]なんかを読んでみてください。
共通鍵暗号なので、少々危険な気がしますが、それでも、Minap さんが心配なさるほど単純な方法ではクラックできません。
私が想定していたのは、認証だけカードの暗号データを使用して、処理そのものはブラウザの暗号化のみという方式です。その方式だったら、受けるときはサーバの振りして送るときはブラウザの振り……というのも可能かな、と思っ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
なんだか (スコア:0)
パスワードは安全じゃないと思うし。/.jp も別の認証に変えてみるとかしてみないのかな。
Re:なんだか (スコア:2, 興味深い)
さすがカード丸ごとコピーは無理だから何回も使える手ではないけど、ログイン画面をリダイレクトしておいてログイン後の処理をダミーに振り替えつつ裏で上限額送金……ってのは可能だと思うから。
結局のところ、まずは使う側の意識から改善しなければならないんではないのかな。
--- どちらなりとご自由に --- --
Re:なんだか (スコア:2, 参考になる)
ICカードリーダなら、住基カード用のとかFelica用のものも売られていますがな。
http://www.sonyfinance-card.com/login/login.asp
ここのパソリ使ったログインの真似しても、アカウントはわからないと思うぞ。
アカウント知っててもここからは入れないと思うぞ。
Re:なんだか (スコア:2, 参考になる)
1.ログイン画面をフィッシング側サーバを経由して表示する
2.ユーザのログイン操作はトンネルして通常の認証を実施させる
3.ログインしたのを見計らってセッションを乗っ取る
4.ユーザにはダミー画面を操作させつつ、フィッシング側は自動で送金を実施
金額や履歴も読み込んで表示させて
--- どちらなりとご自由に --- --
Re:なんだか (スコア:3, 参考になる)
平文パスワード認証方式で議論を進めようとしてませんか? いまどきは、ICカードも通信路に暗号をかけるようです。 例えば、felica はこれ [sony.co.jp]や これ [felicanetworks.co.jp]なんかを読んでみてください。
共通鍵暗号なので、少々危険な気がしますが、それでも、Minap さんが心配なさるほど単純な方法ではクラックできません。
Re:なんだか (スコア:1)
そうかfelicaは通信路の暗号化もやってたのか……SONY、すっごく気合入ってたんだなー。
私が想定していたのは、認証だけカードの暗号データを使用して、処理そのものはブラウザの暗号化のみという方式です。その方式だったら、受けるときはサーバの振りして送るときはブラウザの振り……というのも可能かな、と思って。
まぁ、想定だけなので簡単に実現できるとは思っていませんけど。(w;
--- どちらなりとご自由に --- --
Re:なんだか (スコア:0)
Re:なんだか (スコア:0)
素人考えですが、例えば復号化したデータをどこかにバイパスするとか…これなら暗号化鍵が解らなくともID/カード情報を取得できそう