【情報】Banks use non-ssl login forms. (NEW)

Published: 2006-04-19,
:2006-04 - 19を発表しました、
Last Updated: 2006-04-19 21:08:55 UTC by Johannes Ullrich (Version: 1)
最新アップデート:2006-04-19 ヨハンネス・ウルリッヒによっての21:08:55の UTC (バージョン:1)

This is a bit an old issue I am having, but it seems to be getting worse and not better: Bank that use non-SSL login pages.
これは私が持っている古い号1ビットです、しかしそれはもっと悪くて、そしてもっと良いではなくなっているように思われます:非 SSL のログインページを使う銀行。

Now this is not about sending your credentials in the clear. The bank essentially uses a non-ssl "home page" which includes a login form, but the result of the login form is sent encrypted to an SSL page (e.g. you got to http://www.example.com, and the login form will submit your data to https:/www.example.com). Now why is this so bad, given that your login data is still encrypted? Well, there are two reasons for SSL: The first is to encrypt your data (which happens in this case). The second, as important function of SSL is authentication. A valid SSL connection confirms that you are actually talking to your bank, and that the login form is "real".
今これは問題なしであなたの資格証明を送ることについてではありません。 バンクは本質的にログインフォームを含む非 ssl 「ホームページ」を使う、しかしログインフォームの結果は SSL ページに暗号化されて送られる(例えば、あなたは http://www.example.com に到着しました、そしてログインフォームは https:/www.example.com) にあなたのデータを提出するでしょう. 今、あなたのログインデータがまだ暗号化されるとすれば、これはなぜそれほど良くありませんか? まあ、 SSL の2つの理由があります:最初は(この場合起きる)あなたのデータを暗号化するはずです。 同じぐらい重要な秒 SSL の機能は認証です。 正当な SSL 接続があなたが実際にあなたの銀行に話をしている、そしてログインフォームが「本当である」ことを確認します。

With the help of some handlers, we checked out a number of major banks. You can see the result at https://www.securewebbank.com/loginssluse.html . (I will gladdly add more to the list if time allows. If you want to submit any, please let me know the URL of the login page so I can verify).
若干の調教師の助けを借りて、我々は多くの大手銀行をチェックしました。 あなたは https://www.securewebbank.com/loginssluse.html において結果を見ることができます。 (もし時間が許すなら、私は gladdly にリストにさらに多くを加えるでしょう。 もしあなたがそうすることを望むなら(どれ・何・誰)でも提出します、どうか私にページが私が缶詰めにするように実証するログインの URL を知らせました).

Another problem, in particular with smaller banks, is the use of "brochure" pages on non-ssl (in many cases even shared servers) that link to an online banking site at a very different domain. Still working on collecting some data about this.
もう1つの問題が、特により小さい銀行を持って、非常に異なったドメインにおいてオンラインバンキングサイトにリンクする非 ssl (多くの場合共有されたサーバーさえ)に関する「パンフレット」ページの使用です。 まだこれについて若干のデータを集めることに努力すること。
(出展:SANS)