2007年06月23日
■ 銀行2.0はまだ来ない
4月に、「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」というブログエントリを見かけた。それによると、Internet Explorer がバージョン7に移行し始めたことを契機に、「SSL 2.0を使用する」に設定変更するよう指示している銀行があるのだという。Internet Explorer 7がセキュリティ上の理由でSSL 2.0をオフに変更したにもかかわらずだ。
例えば武蔵野銀行は、4月の時点で図1の解説を掲示していた。
Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。
他にも山形銀行が同様の解説を掲示していた。いったいどうしてこんなことになるのかと、問題点の指摘がてら、なぜ書いているのか聞いてみた(4月に電話で)。すると、だいたいこういうやりとりになった。
ある銀行:
銀: 画面が真っ白になって使えないという方にご案内しているものでして。
私: それで本当に解決するのですか?
銀: はい。お客様にご確認いただいたもので……
私: それは次の項目に書かれている「cacheのクリア」も試したから直ったんじゃないですか?
銀: いえ……
私: そっちで試してないでしょ。
銀: 直ったお客さまもあるので……
私: 次の項目も一緒に変えちゃったらどれが原因かわからないでしょ?
銀: ……。
別の銀行:
銀: IE 7を導入したら真っ白になったというお客さまが実際にこの設定をすることで直っている。
私: もしかして、2.0 と 3.0 を間違えた人がそう言っているのでは?
銀: 半分の人がこれで解決している。
私: では、SSL 2.0をそちらのサーバでは使用しているのですか?
銀: しばらくお待ちください。……。当行ではSSL 2.0と 3.0を使用しています。
私: そもそも2.0を止めるべきではないですか?
銀: 技術に詳しい者から折り返し電話を……
その後折り返しの電話はなかったので結局本当は何が原因だったのかわからない*1。現在は、武蔵野銀行の解説ページからも山形銀行の解説ページからも、この記述が削除されている。
「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」によると、「SSL 2.0の利用を制限(SSL 3.0へ移行)していることを明示している銀行」というのもあるということだった。どうやら、NTTデータのANSERを使っている地銀等がそのような記述をしているようだ。これはよい。
- 「山梨中銀ダイレクト」における通信手順SSL2.0 による通信の停止について, 山梨中央銀行, 2006年12月
さて、今般、「山梨中銀ダイレクト」のサービス提供元である(株)NTTデータから、セキュリティ強化の一環として通信手順SSL2.0 による通信を停止するので、平成19年1月4日(木)以降、通信手順SSL2.0 では「山梨中銀ダイレクト」をご利用いただくことができなくなるとの連絡がありましたので、ご案内申しあげます。
- 「つるしんインターネットバンキング」における通信手順SSL2.0 による通信の停止について, 都留信用組合, 2006年12月
さて、今般、「つるしんインターネットバンキング」のサービス提供元である(株)NTTデ ータから、セキュリティ強化の一環として通信手順SSL2.0 による通信を停止するので、平成1 9年1月4日(木)以降、通信手順SSL2.0 では「つるしんインターネットバンキング」をご利 用いただくことができなくなるとの連絡がありましたので、ご案内申しあげます。
- 荘内銀行 ご利用環境
3.設定による不具合(2)
SSLおよびTLS※のうち、SSL2.0には、セキュリティ上の脆弱性があるため、現在は一般的に使用を推奨されておりません。当行でも平成19年1月4日(木)以降、SSL2.0の使用を制限させていただきました。
(SSL2.0で荘銀ダイレクトにアクセスした場合、画面に「ページを表示できません」(InternetExplorerの場合)や、「接続が突然切断されました」(Netscapeの場合)というエラー画面が表示されます。)
○当行推奨環境でご利用の場合は、SSL3.0もしくはTLS1.0が使用可能です。
※ SSL2.0とSSL3.0の両方が可能なブラウザで通信を開始した場合、ブラウザとサーバが自動的にセキュリティ強度の高いSSL3.0を選択して動作しますので、SSL2.0を利用しないように設定を変えていただく必要はございません。
ちなみに、「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」によると、「IE7への言及はないが、SSL2.0にチェックを入れるように説明している銀行」(大昔の記述の名残?)がたくさんあるのだという。ほとんどは、IBMや日立のASPを借りている小さな銀行ばかりだが、ネット専業のイーバンク銀行までもがそんなことを書いているというのには呆れた。
ところで、SSL 2.0とは別の話になるが、いまだにポップアップウィンドウを使うサイト設計をする銀行があって、作っている業者はどこまでアホなのか?と呆れる。4月8日の日記にも書いた常陽銀行は、今年リニューアルオープンしたばかりで、しかも「地銀ITソリューション」という新会社が新たに構築したサイトだ。なのに、普通にIE 6のデフォルト設定で振込みをしようとすると、「ポップアップがブロックされました」となって、これを見ようとすると先に進めなくなる。
振込み先を指定して「次へ」を押したところで図3の画面となる。
ここで、「ここをクリックしてください」に従い、「一時的に許可」を選ぶと、図4のようになる。
ここでキャンセルを押そうものなら、
となって、ブラウザの「戻る」ボタンを押しても同じ画面となり、にっちもさっちも行かなくなる。図4のところで「再試行」ボタンを押すとどうなるかというと、こうなる。
ここで「再表示」を押すと、図3の画面に戻って、けっきょくポップアップウィンドウの内容は読めない*2。ポップアップがブロックされるのがデフォルトになっていったい何年が経過してると思ってるんだ? こんな作りにしなきゃいい。
*1 原因はもしかして「IE7でWebページを開くと画面が白くなる」のことだった?
以前インターネットバンキングでのFirefox推奨状況を確認していた時に書いた、IE7ユーザーにいまさらSSL2.0を使わせようとする銀行の内容に関して、6月頃に高木浩光氏のブログで取り上げていただいた。 高木浩光@自宅の日記 - 銀行2.0はまだ来ない 前回調査時にはIE7ユ..
- http://firefoxer.hatenablog.jp/entry/20070719/1184860687 ×12 (2014-10-15)
- はてなダイアリー [firefoxer 20070719] ×58 : 57, 1 (2013-12-06)
- 2ちゃんねる掲示板 [money 1178932474] ×6 : 2, 2, 1, 1 (2011-07-24)
- はてなブックマークコメント ×21 : 12, 6, 1, 1, 1 (2009-07-20)
- はてなブックマークコメント [5098357/高木浩光@自宅の日記 - 銀行2.0はまだ来ない] ×4 (2009-02-04)
- http://blog.withit.jp/2007/06/25/post-109/ ×6 (2008-06-05)
- http://bakera.jp/ebi/2007/6 ×6 (2008-05-31)
- はてなダイアリー [matoriX 20070625] ×5 : 4, 1 (2008-02-25)
- ココログ [maruyama-mitsuhiko cocolog] ×23 (2007-12-03)
- はてなダイアリー [firefoxer] ×11 : 6, 3, 2 (2007-11-27)
- スラッシュドットjournal [zenkakueisuuji] ×26 : 25, 1 (2007-08-02)
- http://bakera.jp/ebi/2007/6/25 ×9 (2007-06-26)
- http://blogs.tap.ibm.com/weblogs/miyagawa@jp.ibm.com/entry/0... ×8 (2007-06-26)
- http://bakera.jp/ebi ×51 (2007-06-26)
- http://bakera.jp/ebi/topic/2927 ×407 (2007-06-26)
- ココログ [stressfulangel cocolog] ×10 (2007-06-25)
- http://www.withit.jp/modules/wordpress/index.php?p=109 ×4 (2007-06-25)
- http://bsg.to/antena.html ×8 (2007-06-25)
- ssl2.0 脆弱性 ×35 / ssl2.0を使用する ×29 / キーワード不明 ×27 / SSL2.0 脆弱性 ×26 / SSL2.0を使用する ×21 / SSL 2.0 ×13 / SSL2.0 ×12 / ssl2.0 ×11 / "SSL 2.0を使用する" ×10 / SSL2.0 SSL3.0 ×9 / 武蔵野銀行 ×9 / IE SSL2.0 ×8 / ssl 2.0 ×8 / ssl 2.0 脆弱性 ×8 / 銀行2.0 ×8 / 常陽銀行 ×6 / IE7でWebページを開くと画面が白くなる ×6 / IE ポップアップ 高木浩光 ×6 / SSL2.0 IE ×6 / 山梨中銀ダイレクト ×5 / SSL2.0 高木 ×5 / ssl3.0 ×5 / 高木 SSL2 ×5 / ssl2.0 ssl3.0 ×5 / IE6 SSL2.0 ×4 / ie ssl2.0 ×4 / SSL2.0 IE7 ×4 / 高木浩光 常陽銀行 ×3 / 銀行 ログイン画面が白くなる ×3 / IE6 SSL2.0 遅い ×3 / ssl2.0 ブラウザ ×3 / 常陽銀行 脆弱 ×3 / ie7 ssl2.0 ×3 / SSL2 可能なサイト ×3 / 高木 SSL2.0 ×3 / 武蔵野銀行 高木 ×3 / SSL2.0 3.0 ×3 / 地銀ITソリューション ×2 / 常陽銀行 ie7 ×2 / 荘銀ダイレクト ×2 / SSL2.0 問題点 ×2 / SSL2.0 解説 ×2 / IE3 SSL2.0 ×2 / ssl2.0問題点 ×2 / 銀行2.0 ×2 / IE7 TLS1.0 ×2 / ssl2.0とは ×2 / ie6 ssl 不具合 画面が真っ白 ×2 / 常陽銀行 高木 ×2 / SSL2.0 エラーページ ×2 / 高木 銀行 ×2 / TLS1 IE7 ×2 / IE このページ 再表示 再試行 ×2 / イーバンク -hiromitsu.jp ×2 / ssl3.0 脆弱性 銀行 ×2 / http://takagi-hiromitsu.jp/diary/ SSL2.0 3.0 ×2 / セキュリティ ブログ 高木 銀行 ×2 / SSL2.0と3.0 ×2 / SSL 2.0 3.0 ×2 / ssl3.0とは ×2 / "SSL2.0を使用する" ×2 / 銀行 ×2 / SSL2.0 SSL3.0 自動的に ×2 / 高木浩光 銀行 ×2 / 常陽銀行 高木浩光 ×2 / 銀行 SSL ×2 / SSL2.0 問題 ×2 / ie https 真っ白 ×2 / SSL2 ×2 / ssl -hiromitsu.jp ×2 / SSL 2.0とは ×2 / SSL 3.0 IE7 不具合 ×2 / SSL2.0を使用する ×2 / SSL IE 真っ白 ×2 / SSL 接続が突然切断 ×2 / SSL 画面が真っ白 ×2 / SSL2.0 銀行 ×2 / ssl2 脆弱性 ×2 / 高木浩光 常陽 ×2 / -hiromitsu.jp 銀行 ×2 / 地銀 -hiromitsu.jp ×2 / 高木浩光 武蔵野 ×2 / 高木浩光@自宅の日記 銀行 ×2 / IE7 SSL 真っ白 ×2 / IE7 ポップアップウインドウ ブロックされました ×2 / IE7 白くなる ×2 / SSL ×2 / SSL 2.0 を使用する ×2 / IE SSL2.0 2010年 ×2 / -hiromitsu.jp SSL2.0 ×2