ログインページのSSL

去年ぐらいまではPOST先のページさえSSL化して通信すれば安全だろうと思っていた。
しかしそうではないことに新入社員”に”教えてもらったことを思い出す(新入社員”の頃”ではない)。

つまり今見ているログインフォームのあるページ自体がリクエストしたサーバからきちんと返ってきていて、
しかも経路上で改ざんされていないと証明されていなければ、メールアドレスとパスワードを入力してログインを
ポチっとした瞬間の次のページはフィッシングサイトになっていた、ということもあり得るわけだ。

会社で新しいサイトを構築することになり、そのサイトはTOPページにログインフォームがあるデザインだった。
ユーザに伝えるわかりやすさ(ログインを必要とする機能があるんだ、ということ)とセキュリティにどうなんだという面から
営業チームと軽く議論になったので現状サイトを調査した(12月27日現在)

リンクはあえて http:// で設置。

とりあえずSNS系のFacebookから・・・と見てみたら

Facebook

http://www.facebook.com/

TOPページにフォーム。
なんとデフォルトSSLなし。
アカウントのSecurity SettingsでSecure browsingをONにしないとhttp通信です。
ログイン後も・・・

mixi

http://mixi.jp/

TOPページにログインフォーム。
「SSLはこちら」系。
こういうの選択したことない。

Twitter

http://twitter.com/

TOPページにログインフォーム。
ちゃんとSSL通信です。
httpsのsを消すとhttpsにリダイレクトされます。

Amazon

http://www.amazon.co.jp/

サインインはこちらから・・・で別ログインページ(https)。
Amazon以下で指摘されていたが修正されている。

参考:
ダメな Web サイト – ログイン画面が SSL でない
(注:2007年の記事のようです)

Yahoo

http://www.yahoo.co.jp/

別ログインページ(https)。
昔「SSLはこちらから」系だった記憶があるので見てみたが修正されているようだ。

はてな

http://www.hatena.ne.jp/

やはり技術系が集まるだけあってうるさいのでしょう(笑)
ログイン画面は別(https)。

構築予定のサイトはスマートフォン向けADの公式PRサイト。
なので同系統のアフィリエイト&スマートフォン向けADのサイトを調査してみた。

A8.net

http://www.a8.net/

トップページはhttpでフォームあり。
mixiと同じくSSLへの誘導があるが大手のWebサイトとしてはよろしくないと思います。

Value Commerce

Value Commerce

フォームありだがトップページがhttpを許可しておらず
TOPでも必ずhttpsに行くように対策している。

Link Share

http://www.linkshare.ne.jp/

ログイン画面は別(https)

AdMob

AdMob

ログイン画面は別(https)

Smart-C

http://smart-c.jp/

トップページにフォーム設置。
しかもhttpでログインするときだけhttpsの典型的な誤り例。

AppDriver

http://appdriver.jp/

ログイン画面は別(https)。

それにしてもとんでもなく見にくいページだ。
来年はなんとかしよう。

カテゴリー: Web   パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です