この"unknown"の一部を説明する論文が、7月23〜25日に開かれた Symposium on Usable Security and Privacyで発表された。論文は、ミシガン大学コンピュータ・サイエンス・エンジニアリング学部、博士課程学生のLaura Falk、Kevin Bordersと、Atul Prakash教授のチームによってまとめられている。この論文では、2006年末に米国の金融関連企業の214のWeサイトに対して調査を行った結果より、米国内のオンラインバンキング・サイトの76%にサイト設計の時点でのセキュリティの欠陥が存在したことを指摘している。調査対象には、NessusやAppScanなどを使ってスキャンできる、パッチが当たっていないサービスやクロスサイトスクリプティング、SQLインジェクションなどの、インプリメンテーション・バグ、コンフィギュレーション・バグなどは含んでおらず、Webサイトを設計する段階でのセキュリティの欠陥点だけを挙げている。
(1) 信用関係の破綻("Break in the chain of trust"問題) (2) セキュア・ログインにセキュリティのかかっていないページにある (3) ”連絡先”のページにセキュリティがかかっていない (4) ユーザーIDやパスワードのポリシーが弱い (5) 個人情報を電子メールで送受信する、
