web-dev-qa-db-ja.com

銀行のウェブサイトでドメインを追跡することについて心配する必要がありますか?

フィンランド最大の銀行 [〜#〜] op [〜#〜] (旧Osuuspankki)は、ウェブサイトの再設計に追跡ドメイン(アドビが所有する3つすべて)を追加しました。

uBlock Origin on uusi.op.fi

これらのドメインはサインイン時に読み込まれます:

2o7.net
demdex.net
omtrdc.net

これは許容できると考えられますか?サードパーティのドメインは私の銀行口座の活動についてどのような情報を収集できますか?

126
user598527

メインサイトはAdobe Marketing Cloudのスクリプトをページに直接埋め込んでいるようです。これらのスクリプトはメインサイトと同じサーバーから読み込まれますが、XHRを使用して外部サーバーと通信し、uBlock Originのログに従ってdemdex.netおよび2o7.netから新しいスクリプトをダウンロードするように見えます。

特に銀行の管理下にない第三者からの新しいスクリプトの読み込みと実行は、大きなセキュリティ問題です。基本的に、これらのスクリプトは入力内容の読み取り、送信または表示されたコンテンツの変更などを含め、Webサイトを完全に制御できます。これらは基本的にクロスサイトスクリプティングであり、偶然に発生したのではなく、開発者です銀行サイトの3人は、これらのサードパーティにクロスサイトスクリプティングを行うように明示的に招待しました。

機密情報が入力されていないサイトでは、このようなサードパーティサービスの使用は許容される場合がありますが、機密情報が転送されたり、Webサイトのコンテンツが予期せず変更された場合(別のアカウント残高の表示など)は、絶対に許容されません。そして、訪問者からの不要なアクションを引き起こす可能性があります。

158
Steffen Ullrich

銀行サイトはほとんど一体的ではありません。銀行は通常、ソリューション全体で数十または数百ものサードパーティシステムに依存しています。あるベンダーが提供するバンキングホスト、2つ以上のベンダーが提供するクレジットカードソリューション、別のベンダーが提供するサインオンソリューション、別のベンダーが支払いを行う場合があります。これらのサイトをまとめる作業は膨大です。

銀行サイトがフロントエンドに第三者を巻き込むことも決して珍しいことではありません。これは、カレンダーコントロールをレンダリングするためのサードパーティライブラリから、ユーザーの行動分析とリスク決定を提供するシステムまでさまざまです。これらのベンダーの多くは、コンテンツ配信ネットワーク(CDN)を介してスクリプトとコンテンツを提供しています。つまり、ファイルはサードパーティのドメインからのものである可能性があります。

これは危険ですか?かもね。サードパーティのリソースが サブリソースの整合性 で検証されていない場合、ハッカー(中間者経由)またはサードパーティのリソースで変更される可能性がありますパーティー自体(悪意のある従業員など)。そのため、オンラインバンキングの実装では、コンテンツ自体をホストする(つまり、サードパーティのファイルを独自のWebサーバーにコピーアンドペーストする)か、場合によっては、integrityscriptノードまたは外部ファイルを参照するlinkノード。さらに他の場合、それらはCDNにリンクしますが、SRIチェックが失敗した場合に備えて、フォールバック動作をローカルファイルに提供します( このStackOverflow質問 を参照)。

銀行のウェブサイトでドメインを追跡することについて心配する必要がありますか?

EUでは 不正な取引の費用は金融機関が負担することに注意してください 。したがって、オンラインバンキングのセキュリティには、あなたではなく銀行を保護するという第一の使命があります。

アーキテクチャOPが思いついたものは何でも、それがリスク評価とレビューのいくつかの層に合格したことは確かであり、一部のコンテンツを提供するためにCDNを使用する決定は軽く行われなかった。彼らはそれを適切に実装し、SRIのいくつかの手段を使用している可能性があります。あなたはまだ心配することができますが、心配は最小限でなければなりません。

16
John Wu

可能性は低いですが、それは本当の脅威かもしれません。最近(2017年4月)、ポーランドの大手銀行(mBank)の追跡スクリプト(Gemius)が他の(標準の)追跡データと一緒に口座残高を送信していることが発見されました。意図した効果はおそらくナビゲーション(ページタイトル/セクション)をキャプチャすることだったので、リーク自体が偶然かもしれません。

4
user158037