outerguy / ofxproxy

OFXProxy:対応金融機関のOFXファイルをダウンロードするサービス
https://www.beatrek.com/home/ofxproxy.htm
Other
11 stars 1 forks source link

ワンタイムパスワード入力画面の検知失敗を修正 #30

Closed hiromu2000 closed 8 years ago

hiromu2000 commented 8 years ago

三菱東京UFJ銀行のワンタイムパスワード入力画面には、現在「普段と異なる環境からのアクセス」の文字列は含まれないようです。

outerguy commented 8 years ago

確認の上、マージさせていただきました。 2012年のワンタイムパスワード対応時には、「普段と異なる環境からのアクセス」でうまくいっていたのですが、 リニューアルか何かが原因で、文字列が変わってしまっていたのですね。 気づかなかったところをご指摘・修正くださり、ありがとうございます。

hiromu2000 commented 8 years ago

ありがとうございました。

hiromu2000 commented 8 years ago

ワンタイムパスワード入力画面でない場合でも、「ワンタイムパスワード」の文字列が含まれるため、ワンタイムパスワード入力画面だと誤って認識されてしまっています。 ワンタイムパスワード入力画面が出現したときのログを削除してしまったため、現在、適切な文字列が分からない状態です。 すみませんが、戻していただいたほうが影響が少ないと思います。

outerguy commented 8 years ago

ワンタイムパスワード入力画面とその前後を確認しました。 「ご本人確認」という文字列が判別に相応しそうでしたので、別途、コミットいたします。

hiromu2000 commented 8 years ago

ご対応ありがとうございます。 ところで、ワンタイムパスワード入力画面の出現条件はご存知でしょうか。 IPアドレス、ブラウザを変えた時に「普段と異なる環境からのアクセス」と判断されるようですが、 公衆無線やVPN等にでも繋がないかぎり、普段と異なる環境からのアクセスを再現するのが難しいです。

outerguy commented 8 years ago

私が思いつき、実際に試したのは、以下のサイトで公開されている「オープンプロキシサーバー」を利用する方法です。 http://www.cybersyndrome.net/ この方法では、金融機関へのアクセス元がプロキシサーバーのIPアドレスとなりますから、「通常と異なる環境からのアクセス」の条件を十分に満たすはずです。

ただし、オープンプロキシサーバーは安全ではないため、いくつかの注意が必要となります。

SSL/TLS接続はEnd-to-Endで暗号化・復号しますので、通信経路(プロキシサーバー)上のデータは暗号化されています。 現在、国内の金融機関では強力な暗号化方式を採用していますので、第三者が復号するのは極めて困難です。 ただし、最悪のケースを想定すると、データが復号され、IDだけは漏えいしてしまいます。

したがって、リスクがゼロだとは言えませんが、ネットカフェなどの得体のしれないPCを使うよりは、はるかに安全だと考えています。

hiromu2000 commented 8 years ago

ご回答ありがとうございます。やはりプロキシを使うのが簡単ですね。 セキュリティが少し気にはなりますが、暗号化されていますし、あまり心配する必要ないかもしれません。