たまたま見つけたのですが、CNET の会員ログイン画面がセキュリティ的にとてもいけていません。
具体的には以下のようになります。
このポップアップされたログイン画面は HTTP で暗号化されないで表示されているので改ざんされるリスクがあります。
また、ソースコードを見る限り、ログイン先のアドレスは HTTPS で暗号化されてはいますがユーザーがそれを確認するにはソースコードを読む必要があります。ただ、ログイン画面は JavaScript ライブラリを使用しているようなので確認は簡単ではありません。
ちなみに、新規ユーザー登録も同じ仕組みなので問題も同じになります。
これだけ大きなサイトで、基本的なセキュリティ対策が行われていないというのは驚きです。UI 的にはすっきりしているのですが、それであればサイトの HTTPS 化を進めたほうがよいのではないでしょうか。
「ログイン画面から暗号化する」というのは、基本的事項ではありますがまだ認知が十分ではないといえそうです。
コメント