Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2016年4月18日

CNET のログイン画面がセキュリティ的にとてもいけてない件

たまたま見つけたのですが、CNET の会員ログイン画面がセキュリティ的にとてもいけていません。

具体的には以下のようになります。

Cnet1

 

このポップアップされたログイン画面は HTTP で暗号化されないで表示されているので改ざんされるリスクがあります。

また、ソースコードを見る限り、ログイン先のアドレスは HTTPS で暗号化されてはいますがユーザーがそれを確認するにはソースコードを読む必要があります。ただ、ログイン画面は JavaScript ライブラリを使用しているようなので確認は簡単ではありません。

ちなみに、新規ユーザー登録も同じ仕組みなので問題も同じになります。

これだけ大きなサイトで、基本的なセキュリティ対策が行われていないというのは驚きです。UI 的にはすっきりしているのですが、それであればサイトの HTTPS 化を進めたほうがよいのではないでしょうか。

「ログイン画面から暗号化する」というのは、基本的事項ではありますがまだ認知が十分ではないといえそうです。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA