Scribble at 2024-08-30 08:19:13 Last modified: unmodified

オンライン・バンキングを利用していて困惑させられるのは、UI が正しく動かないサイトが多いということだ。たとえば、「このウインドウを閉じる」というボタンをクリックしても反応がない。僕は、最近の金融機関のサイトでも馬鹿が JavaScript で UI をデザインしていることくらい承知しているから、もちろん JavaScript を有効にしている。金融機関で UI が、JavaScript で動作するように実装されているならなおさら、正しく動いてくれないと困るからだ。さて振込しようという最後のステップでボタンが反応しないなんてことは、どう考えても困る。でも、iPhone に機種変更してからはオンライン・バンキングをスマートフォンで実行しているため、そういう不安はなくなった。パソコンのブラウザでアクセスしている場合と比べて、iPhone のアプリケーションで操作している限り、UI が動かないという問題はないからだ。これに比べてパソコンの Edge でアクセスしていると、正しく UI が動いてくれないことがあって困惑させられる。

それから次に困るのが、MFA を導入しているのはもちろんだが、この「確認コード」の画面が出てきたときに、四桁の数字を入力するボックスへフォーカスが当たっていないことだ。いくら情報セキュリティの実務家といっても、MFA なんて面倒臭いに決まってるわけで、できるだけ即座に手続きを済ませたい。フォーカスをいちいちマウスで当てるのは、地味にイライラさせられる。ちなみに、こういう画面でタブ・キー、あるいはアクセス・キーが設定されているとしても、キーボードを使ってフォーカスを当てるのは、僕はお勧めしない。タブでフォーカスを順番に替えていくなんて無駄な作業の典型だし、仮にユーザビリティと称してアクセス・キーが設定してあろうと、こういう入力欄へフォーカスを当てるために「常識的に叩くキー」のコンセンサスなんて国際的には全く決まっていないのだから、寧ろ偽の欄へ入力させられる攻撃に騙されるリスクがあるからだ（非表示の欄に入力させられて、そこへ入力すると本来の正しい欄の上へ z-index で覆いかぶさった領域にも同じ数字が表示されるように組んであったりする。ページで JavaScript が動くようになっていれば、この程度の「インチキ UI」を実装する JavaScript を一つ外部から読み込むようにページを改変するか「全面フレーム」を実装したページへフィッシング・メールで誘導するだけで簡単に MFA の credentials を横取りできる）。