Chrome は銀行のウェブサイトにセキュリティが弱いというフラグを立てていませんか?

  • Sep 28, 2023

米国の大手銀行 HSBC とチェース 2 行は、オンライン バンキングのセキュリティで「借入時間の活用に取り組んでいる」。

hsbc-ヒーロー.jpg

HSBC のオンライン バンキング サイトが Chrome のセキュリティ機能によって警告されました

(画像: ストックフォト)

オンライン バンキングのページにログインするときに最も考えないことは、「このサイトは本当に安全なのか?」ということでしょう。 あなたはそれを当然のことだと考える傾向があります。

しかし、ここ数日で銀行大手のHSBCとChaseを訪れたことがある人は、見るべき何かを見逃しているかもしれない。 通常は、ブラウザのアドレス バーが明るい緑色に点灯して、接続が確立されていることを確認します。 安全な。

それは、米国政府の Web サイトへの訪問者の 3 分の 1 以上が使用している Chrome が、これら 2 つのサイトにフラグを立てているためです。 -- およびその他多くの場合 -- 「弱いセキュリティ構成」を使用しているとして、接続が「安全でない可能性がある」と警告します。 プライベート。"

こちらも参照

公式発表:NSAのスパイ行為が米国のハイテク経済に悪影響を与えている

NSAの暴露が世界中の新聞の見出しを飾り続ける中、中国は米国ハイテクブランドの国家買収から後退している。

今すぐ読む

セキュリティ研究者らは、事態はあなたが思っているほど悪くないと言う。 結局のところ、Internet Explorer、Firefox、Safari でアクセスした同じ Web サイトは「安全」であるように見えます。

しかし、これは可能な限り健全とは程遠いものであり、チェックを怠ると顧客のセキュリティに重大なリスクをもたらす可能性があります。

「危険なほど弱い」

Chrome は、HSBC と Chase の両方の Web サイトにフラグを立てます。これらの Web サイトは、コンピュータと Web サイト間を流れるデータを暗号化するために使用され、署名されたセキュリティ証明書を使用しているためです。 「危険なほど弱い」SHA-1 暗号化と暗号化の専門家エリック・ミル氏は言う。

幸いなことに、SHA-1 はその後、より優れた新しいバージョン、つまり SHA-2 という適切な名前に置き換えられたことです。 悪いニュースは、署名に SHA-1 が依然として使用されていることです。 約90パーセント ハッカーは年々、安全なトラフィックを解読できる攻撃の発見に近づいています。

「時間が経つにつれて、ハッシュ アルゴリズムの新たな弱点が研究者によって明らかになり、ハードウェアが高速化することで、それらの弱点が悪用されやすくなります。」とマイク・マッカナ氏は述べています。 SSL スタートアップ CertSimple の創設者、メールで。 「その結果、内容は異なるがハッシュが同じ 2 つのドキュメントを作成できるようになります。したがって、デジタル 署名は別の文書で再利用できるため、ハッキング グループ、組織犯罪、政府によるなりすましが可能になります。 他の人。」

そのため、Chrome の最新バージョンでは、これらのサイトに潜在的に危険なフラグが付けられます。

このブラウザを開発しているGoogleは以前、次のようになると述べていた。 2017 年に SHA-1 証明書は受け入れられなくなりました. (Microsoft と Mozilla もこれに追随するでしょう。)

簡単に言うと、これらの「安全な」Web サイトは、長期間にわたって安全であるようには見えなくなります。

「借りた時間を使って働く」

ベテランのセキュリティ専門家ダン・カミンスキー氏は電子メールの中で、ChromeはSHA-1を「非常に積極的に」廃止していると述べた。 「セキュリティにおける他のほとんどすべてのものとは異なり、暗号の品質は簡単に測定できます」と彼は付け加えた。

言い換えれば、これらの危険信号は回避できたはずです。

によると Chrome 開発者へ、古い警告は、コンピューターとサイト間の接続で古い暗号スイートが使用されていることを意味する可能性があります。 「最新の暗号化」ステータスを取得するには、開発者が書き込み、前方秘匿性とより最新の暗号スイートが必要です。

これを読む

この無害なツイートがどのようにして銀行口座をハッキングする可能性があるのか

今すぐ読む

暗号学者のジャスティン・トラウトマン氏は電子メールで、HSBCとチェイスは「時間を借りて取り組んでいる」が、これらのサイトが顧客に差し迫ったリスクをもたらすものではないと述べた。

同氏は、「現実的なパラノイアの感覚を持ち、失敗の兆候を示している機能から積極的に離脱する措置を講じるのが最善だ」と述べた。 「それまでの間、彼らは全力を尽くして SHA-2 に移行する必要があります。 それが現時点での論理的な前進だ。 Firefox がこれらのサイトを安全であるとマークするのが間違っているとは思いません。おそらく、(当面は) すべての意図と目的において安全であると考えられるからです。」

同社のマッカナ氏は、他の企業のオンライン業務改善を支援しているが、「ウェブサイトのセキュリティに対する懸念すべき関心の欠如」があると述べた。

「Web サイト所有者がこれらの攻撃を防ぎ、Chrome の警告を取り除くための解決策は簡単です。それは、SHA2 証明書に移行することです。 ほとんどの SSL ベンダーは、Web サイト所有者が追加料金なしで既存の証明書のキーを変更できるようにします。」と彼は言いました。

HSBCもチェースを所有するJPモルガンも本稿執筆時点ではコメントを出していない。 返事があれば、ストーリーを更新します。