アカウント名:
パスワード:
いつもログインしてるところならブラウザが記憶してるが、初見のフィッシングサイトをブラウザが記憶しているわけがないのでパスワードの手入力を求められる。いつもの違う操作を要求されることで、フィッシングサイトであることに気付くなんてケースもあるのでは。
ブラウザ側の実装によっては安全性が高まるという側面もあるのではないか。
少なくとも毎回ログインしてると、ログイン作業に慣れが生じるわけで、フィッシングサイトを開いたときに気がついてストップする可能性は下がるよなぁ。
逆だろ。毎回手入力でパスワード入力してたらそれが「慣れ」になってしまう
初見のフィッシングサイトでも慣れたまんま入力してしまうハメになるよ
何同じこと書いているの?
「毎回ログインしてると、ログイン作業に慣れが生じる」=「毎回手入力でパスワード入力してたらそれが「慣れ」になって」「気がついてストップする可能性は下がる」=「慣れたまんま入力してしまう」
それな。端末にパスワードないしはセッションキーを保存する事は賛否あるだろうが、フィッシング対策という一点において見ればパスワードないしセッションキー保存は大正義。
パスワードも覚えきれる範囲だと使いまわしや強度に不安が出やすいけど、何らかのパスワードマネージャを使うならその問題もない。パスワードマネージャからパスワードが盗まれるリスクだけ警戒すれば良い。ただし、暗号化なしな場合中間者攻撃にかなり弱い。条件にもよるが当該サイトへのアクセス無しでも盗まれ得る。
セッション情報盗み取れるってブラウザ脆弱性の話題は昔見た情報は適宜見直した方が良いね
無料WiFiやLanコネクタの先に細工されてるケースで考えると、暗号化されてない場合は脆弱性ほぼ関係ないのよ。一切の生HTTPアクセスが無いってならともかく、一個でも開いたらそこから標的サイトを読みに行かせて、標的サイトへのアクセス時に送るクッキー情報を読んだり、標的サイトのログインページロードさせて自動入力されたパスワードを読み取ったり。
ブラウザの挙動や標的サイトの作りによっては出来ないけど、今時HTTPでログインできるサイトが真面目に対策してるかはお察し。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ブラウザのパスワード記録は初見のフィッシングサイトでは無効化されるのでは (スコア:4, すばらしい洞察)
いつもログインしてるところならブラウザが記憶してるが、初見のフィッシングサイトをブラウザが記憶しているわけがないのでパスワードの手入力を求められる。いつもの違う操作を要求されることで、フィッシングサイトであることに気付くなんてケースもあるのでは。
ブラウザ側の実装によっては安全性が高まるという側面もあるのではないか。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
少なくとも毎回ログインしてると、ログイン作業に慣れが生じるわけで、フィッシングサイトを開いたときに気がついてストップする可能性は下がるよなぁ。
Re: (スコア:0)
少なくとも毎回ログインしてると、ログイン作業に慣れが生じるわけで、フィッシングサイトを開いたときに気がついてストップする可能性は下がるよなぁ。
逆だろ。毎回手入力でパスワード入力してたらそれが「慣れ」になってしまう
初見のフィッシングサイトでも慣れたまんま入力してしまうハメになるよ
Re: (スコア:0)
何同じこと書いているの?
「毎回ログインしてると、ログイン作業に慣れが生じる」=「毎回手入力でパスワード入力してたらそれが「慣れ」になって」
「気がついてストップする可能性は下がる」=「慣れたまんま入力してしまう」
Re: (スコア:0)
それな。
端末にパスワードないしはセッションキーを保存する事は賛否あるだろうが、
フィッシング対策という一点において見ればパスワードないしセッションキー保存は大正義。
パスワードも覚えきれる範囲だと使いまわしや強度に不安が出やすいけど、
何らかのパスワードマネージャを使うならその問題もない。
パスワードマネージャからパスワードが盗まれるリスクだけ警戒すれば良い。
ただし、暗号化なしな場合中間者攻撃にかなり弱い。条件にもよるが当該サイトへのアクセス無しでも盗まれ得る。
Re: (スコア:0)
セッション情報盗み取れるってブラウザ脆弱性の話題は昔見た
情報は適宜見直した方が良いね
Re: (スコア:0)
無料WiFiやLanコネクタの先に細工されてるケースで考えると、
暗号化されてない場合は脆弱性ほぼ関係ないのよ。
一切の生HTTPアクセスが無いってならともかく、
一個でも開いたらそこから標的サイトを読みに行かせて、
標的サイトへのアクセス時に送るクッキー情報を読んだり、
標的サイトのログインページロードさせて自動入力されたパスワードを読み取ったり。
ブラウザの挙動や標的サイトの作りによっては出来ないけど、
今時HTTPでログインできるサイトが真面目に対策してるかはお察し。