仕事の備忘録

IT系技術とか、カスタマーサービスとか

ログイン時のhttpsはお願いだから必須にしてほしい

先週「e+」という大手チケット販売サイトがログイン設定を全員設定しなおしてくれというメールを出した。手元にも届いており週末再確認することにしていたが、今週TL上で話題になっていた。TLを辿ると、どうやらログインサイトがhttpのままだったことで
フィッシングサイトではないかと話題に。  

 どうやら現行では機能によりhttpとhttpsがログイン時混じっているらしいが、確認したところ今回はhttpしか使えないとTL上でも報告があり、私も確認した。また案内ページ自体がhttpとなっている。

 
産業技術総合研究所情報セキュリティ研究センターにて主任研究員である高木浩光氏がe+に確認したところ、問題ないとの返答があったらしい。

 しかしhttpのままでは通信が途中で改ざんされていれば、偽サイトと区別はつかない。そのため各ブラウザではhttpでの通信時のログインを警告する仕様となっているのだ。

 2005年にはすでに「SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよい」という記事が前述の高木浩光氏より書かれ話題となった。

高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも, クレジットカード業界は最もWebセキュリテ..

それから12年、すでに各ブラウザはhttpであることで警告表示をするようになっている。Chromeの場合「保護されていません」の部分をクリックすると「機密情報を入力しないでください」と書かれている。

 

この状態で「問題ありません」と言い切れるご時世ではないことをeplusは認識したほうがよいのではないか。(系列サービスにセゾンカードがあるのだが・・・)

ただ騒ぎになっていたからか、本日4/13 23:00確認したところhttpsが使えるようになっていた。自分でhttpsと打てば利用可能。

これですこしは緩和されたが、大多数の方のためにも、お知らせページもhttpsに直してもらいたいところ。またメールから直接リンクしている方のためにhttpsにリダイレクトまでしていただければと思う。