アカウント名:
パスワード:
ゆうちょ銀行のお知らせ [japanpost.jp]では
ゆうちょダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりませんので、このような画面が表示されても、合言葉・インターネット用暗証番号の入力は絶対に行わないでください。
と書いてある。三井住友銀行のお知らせ [smbc.co.jp]でも
SMBCダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりません。このような画面が表示されても、暗証番号などお客さまの情報の入力は絶対に行わないでください。
とある。だけど、ポップアップ画面であ
ポップアップでなければ(=ブラウザ上での画面遷移であれば)アドレスが表示されてるので、それを見てある程度防衛できるのではないかと推測。
# 昔はアドレス領域無しの新規ウインドウとか作れたけど、色々問題になった結果、# どのブラウザでも、アドレス領域は必ず表示するようになったということがあった。
いや、そのりくつはおかしい。 (AA略)
今回の仕組みで偽画面が表示されるのは、既にパソコンが乗っ取られた後だと考えられるので、表示されているアドレスとページ内容が一致する保証はない。そもそも、その保証があるなら、攻撃者は今回のポップアップ画面を表示することもできないわけで。攻撃者がミスをしない限り、アドレスバーを確認しても偽画面かどうかはわからない。
攻撃者がミスをして、偽画面である証拠をアドレスバーなり他の部分なりに残してくれる可能性はあるけれど、それはポップアップ画面であるかどうかとは無関係だと思う。
アドレスバーに表示するURLって簡単に偽装できるの?ブラウザ風のなにかを表示するってこと?
パソコンが乗っ取られている後なので、攻撃者がどのような表示の偽装だってできる可能性があると考えるべきでしょう。「パソコンが乗っ取られた」という時点でもう「アドレスを見て通信先が正しい相手かどうか判断する」なんてレイヤの話で攻撃を防ぐことはできない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
ポップアップ画面であることが重要なの? (スコア:5, 興味深い)
ゆうちょ銀行のお知らせ [japanpost.jp]では
と書いてある。三井住友銀行のお知らせ [smbc.co.jp]でも
とある。だけど、ポップアップ画面であ
Re:ポップアップ画面であることが重要なの? (スコア:0)
ポップアップでなければ(=ブラウザ上での画面遷移であれば)アドレスが表示されてるので、
それを見てある程度防衛できるのではないかと推測。
# 昔はアドレス領域無しの新規ウインドウとか作れたけど、色々問題になった結果、
# どのブラウザでも、アドレス領域は必ず表示するようになったということがあった。
Re:ポップアップ画面であることが重要なの? (スコア:2)
いや、そのりくつはおかしい。 (AA略)
今回の仕組みで偽画面が表示されるのは、既にパソコンが乗っ取られた後だと考えられるので、表示されているアドレスとページ内容が一致する保証はない。そもそも、その保証があるなら、攻撃者は今回のポップアップ画面を表示することもできないわけで。攻撃者がミスをしない限り、アドレスバーを確認しても偽画面かどうかはわからない。
攻撃者がミスをして、偽画面である証拠をアドレスバーなり他の部分なりに残してくれる可能性はあるけれど、それはポップアップ画面であるかどうかとは無関係だと思う。
Re: (スコア:0)
アドレスバーに表示するURLって簡単に偽装できるの?
ブラウザ風のなにかを表示するってこと?
Re: (スコア:0)
パソコンが乗っ取られている後なので、攻撃者がどのような表示の偽装だってできる可能性があると考えるべきでしょう。
「パソコンが乗っ取られた」という時点でもう「アドレスを見て通信先が正しい相手かどうか判断する」なんてレイヤの話で攻撃を防ぐことはできない。