- 追加された行はこの色です。
- 削除された行はこの色です。
* [https://s.bk.mufg.jp/np/ MUFG NET PLAZA] [#oc77b62a]
三菱東京UFJ銀行にこんなサービスがあったので,試しに登録してみた.
画面には
>「MUFGネットプラザ」は三菱東京UFJ銀行が提供するワンストップ金融サービスです。
とある.
顧客の金融資産を一覧表示したり,運用についての分析・提案を行うサービスのようである.
今のところ利用料は無料のようなので,管理するほどの資産なんてないのだが試しに登録してみると…
> これはヤバイ
という臭いがする.
[https://s.bk.mufg.jp/np/moushikomi/index.html ここ]に登録の手順があるのだが,なんと
> セッションパスワードの一覧表の全入力を求められる
のである.
「フィッシングサイトか!?」と URL を見るが,そうではない.
そもそも,このセッションパスワード表(というのかな)は,単一のセッションだけ盗聴されたとしてもログインされないように,という目的で設けられているものである.
ここで全入力してしまうと,このセッションを盗聴されたらアウトではないか.
まぁ,SSL で保護されているので簡単には盗聴はできないはずだけど,SSL を信用するのならそもそもセッションパスワードなんていらない.
が,ヤバさを感じつつも入力して登録を済ましてみる.
で,登録を済ませてログインし直すと…
「しばらくお待ちください…」と表示が出て口座の残高が表示される.
どうやら,先ほど入力したセッションパスワードを利用して,裏でアクセスしているようである.
ここまでならまだ良いのだが,何と
> 他銀行の口座も一覧表示に登録できてしまう
ようである.
やはり,セッションパスワード表の全入力を求められるのだろう(それ以外に実現できないはずだ).
> …正気か,おい.
他銀行の通帳と印鑑を預けるようなものである.
さらに,資産分析画面では curl の plugin が必要,ということで外部サイトに飛ばされる.
この plugin の正当性は誰がどのように保証しているのだろう?
そういうことを言い出すと FireFox の正当性は?という話になるのだけれど,正当性を保証しない plugin のインストールをわざわざ勧める,というのもおかしな話である.
と,まぁ,web セキュリティには素人な私でも胡散臭さがプンプン臭ってくるので,とっとと登録を解除してしまった.
それとも,玄人な人から見ると問題ないものなのかしら.
*本日のツッコミ [#m7af1148]
#comment