情報セキュリティの穴は異なります。 ソフトウェア、ハードウェア、人々の頭に穴があります。 また、ドキュメントにも含まれています。 たとえば、現在、ウクライナの非常に有名な銀行のウェブサイトには、企業のインターネットバンキングのユーザーに、銀行を装ったフィッシングサイトを信頼するように指示する指示があり、誤った証明書に関するすべてのブラウザー警告が詰まっています。 しかし、彼らはおそらく人々を便利なドックにしたかったのでしょう。 しかし、いつものように判明しました。
何言ってるの?
ここに行き、ドックをダウンロードします。 あなたはすべてを読むことはできません(多くあります)-私は文書の重要な場所を引用します:
「鍵生成プログラムは銀行のウェブサイトにあります。ユーザーのコンピューターにダウンロードするためには、
インターネットプロバイダーとの接続を確立し、インターネットブラウザーをアクティブにし、IEアドレスバーにアドレスを入力します。- client - bank.privatbank.ua / p24 / c2b_installを押し、「Enter」を押します。 ページが開きます:
このメッセージは、ダウンロードしたソフトウェアがPrivatBankに属し、その信頼性がTawte Premium Server CA証明書によって確認され、銀行がこのアプリケーションのセキュリティを確認したことを示しています。 „
犬はどこに埋葬されていますか?
そのため、注意-スクリーンショットでは、証明書が地獄によって発行されたというブラウザメッセージが明確に表示され、このサイトnifigを信頼することはできません。 スクリーンショットの下のメッセージでは、このメッセージは「すべては問題ありません。そうすべきです。これはプライベートバンクとそのソフトウェアのサイトです」と説明されています。 そして、すべてが適切なレベルで英語を話すわけではないことを覚えており、したがって、この説明を信じています。 それだけです、オールを乾かします-この指示を読んだユーザーがフィッシングサイトに関するブラウザの警告を見ると、彼はそれを無視します。 そしてお金を失います。
このゴミはどうやって生まれたのですか?
もちろん、私は確実に知りませんが、すべてがそうだったように私には思えます。 2人が文書に取り組んだ。 1つ(彼をプログラマーと呼びましょう)は賢く、ここに何があるのか、そしてどのようになっているのかを本当に理解していました。 2番目(彼女の秘書と呼ぼう)は愚かで何も理解していませんでした。コピーペーストの使い方もワードだけが知っていました。 秘書の奇跡を待つ必要がないことに気付いたプログラマーは、ソフトウェアのインストールプロセスのスクリーンショットを撮り、慎重に各スクリーンショットにチェックを入れて、何を押すべきかを説明しました。 これで十分であることを完全に確信しており、何かを台無しにするために一生懸命努力しなければなりません、彼は「オン、写真が何を言うのか、どこをクリックするかの間で署名してください-私はチェックマークでマークしました」 しかし、秘書はまだ台無しにできました! 彼女の論理は、これだと思う:
「だから、ここで人は「接続手順を開始する」をクリックする必要があります。 しかし、画面に渦を巻くようなひどいウィンドウがあります! どうする すべてが問題ない理由をユーザーに何らかの形で説明する必要があります。 そしてその前に、ほとんどを理解するのは良いことです...まあ、それはPrivatbankのサイトについて書かれているようです...そしてTawte Premium Server証明書について何か他のもの...それで、すべてが良い理由を書きます。」 そして書いた。 しかし実際には、秘書が見ていたのは、証明書のエラーに関するブラウザメッセージではありませんでした。 むしろ、それだけでしたが、画面に表示されたのはFirefoxではなく、別のブラウザーでした。このFirefoxは、このメッセージのスクリーンショットを含むページのみを表示しました。 そして彼は、ユーザーに危険について警告するためだけにそれを示しました。 ここに、現在の形式のこのページがあります 。 つまり 秘書は、スクリーンショットのスクリーンショット(すごい、再帰)に怖がって、どういうわけか自分自身とユーザーに説明しようとしたことがわかりました。 その結果、フィッシングサイトを信頼することをお勧めします。 いいですね
これはもちろん、起こっていることの私のバージョンだけですが、どこかにあったようです。 2番目のオプションは意図的な妨害行為だからです。 そして、 HanlonのRazorが言うように:「愚かさによって説明できる悪意に起因する属性はありません。」
まとめ
バグはどこでも、ドキュメントでも修正する必要があります。 この記事へのリンクを含む手紙がPrivatbankに送信されました。 銀行に対する直接的な脅威はないので、密かに彼らに通知する必要はないと思います。ただ、愚かさがドックに書かれているだけです。