2008-09-17 [長年日記]
λ. Analyzing Websites for User-Visible Security Design Flaws
Analyzing Websites for User-Visible Security Design Flaws by Laura Falk, Atul Prakash and Kevin Borders.
In this paper, we examine the prevalence of user-visible security design flaws by looking at sites from 214 U.S. financial institutions. We specifically chose financial websites because of their high security requirements. We found a number of flaws that may lead users to make bad security decisions, even if they are knowledgeable about security and exhibit proper browser use consistent with the site’s security policies.
To our surprise, these design flaws were widespread. We found that 76% of the sites in our survey suffered from at least one design flaw. This indicates that these flaws are not widely understood, even by experts who are responsible for web security. Finally, we present our methodology for testing websites and discuss how it can help systematically discover user-visible security design flaws.
ちょっと前に、/.Jの「銀行ウェブサイトの大半はセキュアではない?」という記事で取り上げられていた論文。2006年に米国の金融関連の214のWebサイトに対して、以下の5つの設計上の問題について調査したところ、76%の金融機関になんらかの問題があったという話。
- Break in the chain of trust: 安全なページでのユーザーへの通知なしでの、違うドメインへのリダイレクト
- Presenting secure login options on insecure pages: 安全でないページにログインフォームがある
- Contact information/security advice on insecure pages: 連絡先や安全に関わる情報が安全でないページにある
- Inadequate policies for user ids and passwords: e-mailアドレスや社会保障番号のような推測しやすいIDを使わせていたり、短いパスワードを許しているか
- E-Mailing security sensitive information insecurely: 安全に関わるような情報をe-mailで送っているか
これらの項目はアカウントを作ったりログインしたりせずに調査できるもののなかで、良く見られた問題を選択している。
