2007-11-18

SSLってそんなに重要なんですか・・・?

http://takagi-hiromitsu.jp/diary/20071117.html#p01

セキュリティ専門家はそんな風にいうかもしれないけど、

なんとなく地銀の内部事情も窺い知れるというもの。

そもそも武銀のネットバンクにどれだけユーザーがついているのか。

異常な入出金なんて人間系ですべてチェックできるレベルなのではないか。

そんなレベルなんじゃないの?

設計が悪いという指摘はごもっとも。

だが、そもそもその手の地銀が自前でシステムを構築してないんじゃないか?

サーバー運用まるごと委託している可能性の方が高い。

担当者銀行に対する説明が不十分であるのは否めないが、

たいしてユーザーがいなそうなサービスだから相乗りさせている可能性は非常に高い。

認証をとってしまうとある銀行の負荷が増えて参照サーバーをちょっと動かしちゃえなんていう離れ業ができなくなる。

逆にいうとそういう離れ業で逃げ道を担保しないと採算が合わないレベルなのではないか?

ドメイン認証をとることに積極的になれない理由も伺いしれる。

いっそ別ドメインで認証をとってしまってSSLは全部そっちとまとめてしまってもいいとは思うが、

銀行のようなところは激しく嫌がるだろう。

ネットショップなどを運営しているとSSLをつけるが、

SSL認証後(つまりログイン後)、

アフェリエイトGoogle Analytics のような外部参照のサービスが利用できなくなる。

YouTube動画をはりつけたりするのもSSL警告対象だ。

SSLを通している以上、セキュリティエラーがでるのはもっとも。

だが、サービス面で自由度は落ちまくりである。

セキュリティの理想としてはサイトログインした直後からすべてSSLを通すのが望ましいかもしれない。

だが、ユーザーの利便性、提供者の利便性を考えたらSSLなんて最後の最後だけということになる。

設計思想以上にこのバランスは難しいものがある。

一般ユーザーのどれほどがSSLがなんであるか認識しているだろうか?

そしておそらく……

セキュリティにずるずるなユーザーというのはひろみちゅなんかが想像もできないぐらいずるずるだ。

IE7なんてもちろん、Win95でネットサーフィンをしているユーザーは実際存在する。

見識の高いところでクラクラするのはいいと思うが、現実はもっと泥臭いとろこでセキュリティ管理をしなきゃならない。

だから地銀存在できるのではないか。

窓口の担当がお孫さんの勤め先まで知っているような地銀相手にご高説をぶったところで、田舎の住民に玄関に鍵をかけないのは危険ですよというようなものかもしれない。

一番のセキュリティホール人間だというが、同時に一番のセキュリティゲートも人間なのだよ。

  • 地銀ってそんなに小さいんですか?

    だったら潰してしまえ。影響ないだろ。 http://anond.hatelabo.jp/20071118231214 SSLが必要ないなら使わなければ良い。 採算があわないなら止めてしまえば良い。 そうする事なく、間違った情報を...

    • http://anond.hatelabo.jp/20071119005316

      日本ではSSLやサイト認証の重要性についての認識を広めることに失敗してるってのが現状なんだろう。 広義のインターネット全体の利益を図る権力団体みたいなものが存在していないこ...

    • http://anond.hatelabo.jp/20071119005316

      過激ですね。 地銀に口座もってますか?

記事への反応(ブックマークコメント)

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん