ユーザーがログインをクリックしたときに個別のウィンドウを開くのに十分な理由はありますか？

はい、それは（逆に）ユーザーエクスペリエンスのために作られたものではなく、セキュリティを向上させるためのものです。

この状況を想像してみてください。

1つのセキュリティで保護されたサイトにアクセスしていますが、ホームページはsecure（HTTPプロトコルを使用）ではないため、サーバーのCPU使用率を大幅に削減できます（ホームページはrandomユーザーと検索エンジン、または重要ではない素材が含まれているため）。資格情報を入力してログインすると、HTTPS暗号化接続にリダイレクトされ、誰もデータパケットを読み取ったり変更したりできないようになります。

ただし、ネットワークがunsecureの場合、誰かがあなたが送信するデータを盗聴する可能性があります。暗号化されているため、これはHTTPSの問題ではありませんが、覚えていますか？ -HTTPを使用してログインし、その後HTTPSにリダイレクトしました。攻撃者が資格情報（プレーンテキスト）を盗聴した場合、攻撃者は中間者として効果的に行動できます。 HTTPS接続は安全です後それが開始される前ではなく、開始されています。

この非常に特殊なケースでは、ホームページとログインページの証明書が異なる会社に発行されます（ホームページの証明書は、ホスティングサービスプロバイダーに発行されたgeneric証明書であると思います）。

でも、なぜ新しいウィンドウ？既存のウィンドウ/タブを再利用して新しいHTTPSセッションを開始することはできませんか？ AFAIKには3つの理由があります。

1）起こり得る攻撃を防ぐため。このトピックは私の知識ではないので、 トリプルハンドシェイクとCookieカッター：TLSを介した認証の中断と修正 を参照してください。

2）新しいセキュアな接続が開始されたことをユーザーにクリアする。それはおそらく唯一のUXポイントです。

3）前のページでロードされたブラウザのバグとプラグインが同じセッション/プロセスでまだロードされていないことを確認します（またはその可能性を大幅に削減します）。特に、ユーザーに最新の完全にパッチされたバージョンのブラウザーを使用するように強制しない場合は、これが今日でも新しいページを開く主な理由です。

編集：私たちが自分自身に尋ねる場合「これは今日でもまだ必要ですか？」そして答えはおそらく "いいえ、たぶんそうではありません "が、銀行（および金融サービスを提供する会社）は、特にユーザーが最新の完全パッチの使用を制限しない場合、セキュリティについて少し保守的である傾向がありますブラウザー（Windowsがまだ使用中の場合、Windows XP Internet Explorer 7を搭載したコンピューター）...