2014/03/18(火) [n年前の日記]
#1 [web] PhishWallが気になる
ゆうちょ銀行のサイトにアクセスしたら、「PhishWallをインストールしてくれや」と表示されてたので、「なんスかソレ?」と。まさか、ユーザ名やパスワードを盗む怖いソフトじゃあるまいな…。ゆうちょ銀行のサイトもやられたのかな…。などと不安に。
_高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記 が参考になった。サーバ証明書その他をちゃんと用意できないアレな企業・銀行が、別の仕組み = PhishWall なるソフトを使って、「このサーバは問題無いサーバですよ」「公式サイトですよ」と証明してるらしい…。
サーバ側をちゃんと用意すればもっと安く上がるのに、PhishWall を導入することで数十倍の値段になってるという話に、なんだかもやもや。そのコストはお客様であるこちら側が負担してるわけで…。もっとも、サーバ側をちゃんとさせるために必要になる人件費に比べたら、PhishWall とやらに払ったほうが早く対応できるし安上がり、という判断でもしてるのかな。実際はどうなのか分からないけど。
ちと気になるのは、PhishWall の仕組み。
たぶん、PCがWebにアクセスするたびに、それを横から掠め取って、「このURLは正しい」「このURLは俺知らねえ」と判別してるのだろうけど。てことは、Webへのあらゆるアクセスを横から掠め取っている分、全てにおいて処理が余計に増えている・レスポンスが悪くなってしまうのではないのかなと予想。体感上はどうなんだろう。劇遅になったりしないのかな。
DRMその他と同様に、OSの根幹部分に食い込んでくるヤバい仕組みだったりしないのかな、てな不安も。何せ、他のソフトから処理内容を変更されたら全てが台無しだろうから、システムの根幹をドデーンと占拠して他のプログラムからのアクセスを弾いてしまうアレなところがありそうな。下手すると、一度組み込んだらアンインストールすらできなくなって、消すためにはOS再インストールしか手はない、みたいなヤバさもありそうで。大丈夫なのかな…。
どこぞの犯罪組織が、コレとそっくりのプログラムを作って広めちゃったらどうなるのだろう…。
てな感じで色々不安はあるのだけれど。とりあえず、ゆうちょ銀行のサイトから辿って一応インストールしてみたり。
IE11を何度か再起動させないと、ツールバー上のランプが光らなかった。また、IE起動時に、「起動時にコイツが足を引っ張ってるよ! コイツを無効にすればもっと速く起動できるよ」とメッセージが表示された。軽いプラグインというわけではナサゲ。
ツールバー上にランプが表示される見た目だけど。これでは、例えばウチの親父さんなどは、ランプがついてることにも気付かんだろうなと思ったり。ブラウザ下部のダウンロードバー出現や、ActiveX関係のバーが出現することにも気付いてない感じだし…。かといって、例えばダイアログ等でデカデカと、「このサイトは正しいサイトです」なんて表示してもマズいわけだし。そんなのフィッシングサイトでも容易に実現できちゃうもんなあ…。そんなアレコレを考えると、「これで本当に有効な対策になるんかいな…」と。しかし名案も浮かばない…。
_高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記 が参考になった。サーバ証明書その他をちゃんと用意できないアレな企業・銀行が、別の仕組み = PhishWall なるソフトを使って、「このサーバは問題無いサーバですよ」「公式サイトですよ」と証明してるらしい…。
サーバ側をちゃんと用意すればもっと安く上がるのに、PhishWall を導入することで数十倍の値段になってるという話に、なんだかもやもや。そのコストはお客様であるこちら側が負担してるわけで…。もっとも、サーバ側をちゃんとさせるために必要になる人件費に比べたら、PhishWall とやらに払ったほうが早く対応できるし安上がり、という判断でもしてるのかな。実際はどうなのか分からないけど。
ちと気になるのは、PhishWall の仕組み。
たぶん、PCがWebにアクセスするたびに、それを横から掠め取って、「このURLは正しい」「このURLは俺知らねえ」と判別してるのだろうけど。てことは、Webへのあらゆるアクセスを横から掠め取っている分、全てにおいて処理が余計に増えている・レスポンスが悪くなってしまうのではないのかなと予想。体感上はどうなんだろう。劇遅になったりしないのかな。
DRMその他と同様に、OSの根幹部分に食い込んでくるヤバい仕組みだったりしないのかな、てな不安も。何せ、他のソフトから処理内容を変更されたら全てが台無しだろうから、システムの根幹をドデーンと占拠して他のプログラムからのアクセスを弾いてしまうアレなところがありそうな。下手すると、一度組み込んだらアンインストールすらできなくなって、消すためにはOS再インストールしか手はない、みたいなヤバさもありそうで。大丈夫なのかな…。
どこぞの犯罪組織が、コレとそっくりのプログラムを作って広めちゃったらどうなるのだろう…。
てな感じで色々不安はあるのだけれど。とりあえず、ゆうちょ銀行のサイトから辿って一応インストールしてみたり。
IE11を何度か再起動させないと、ツールバー上のランプが光らなかった。また、IE起動時に、「起動時にコイツが足を引っ張ってるよ! コイツを無効にすればもっと速く起動できるよ」とメッセージが表示された。軽いプラグインというわけではナサゲ。
ツールバー上にランプが表示される見た目だけど。これでは、例えばウチの親父さんなどは、ランプがついてることにも気付かんだろうなと思ったり。ブラウザ下部のダウンロードバー出現や、ActiveX関係のバーが出現することにも気付いてない感じだし…。かといって、例えばダイアログ等でデカデカと、「このサイトは正しいサイトです」なんて表示してもマズいわけだし。そんなのフィッシングサイトでも容易に実現できちゃうもんなあ…。そんなアレコレを考えると、「これで本当に有効な対策になるんかいな…」と。しかし名案も浮かばない…。
[ ツッコむ ]
以上、1 日分です。