Ryuzee.com

高木浩光＠自宅の日記 – 日本航空のEV SSL導入のナンセンス

これでは EV SSLが台無しだ。緑であることも会社名も確認できない。mixiのように https:// に切り替えるリンクも用意されていない。ここの利用者達はどういう想いでパスワードを打ち込んでいるのだろう？

このサイトには他にもログイン画面があって、航空券の予約で便を指定した直後で図6の画面が現れる。マイレージ会員はここでログインするようになっているのだが、ここの画面も http:// であり、EV SSLの緑と会社名も確認できない。

えーと、EV SSL以前の問題なんだよね。ファーミングやマンインザミドルをやられちゃうと、httpでのログインフォームってのが全然ダメなのは常識だと思うのだが、日本航空のシステム開発部隊は大丈夫か？
＃もしかして、と思ってみたらANAも同じだった・・・。

数年前くらいにクレジットカード会社や銀行が非SSL領域のナビゲーションに配置されているログインフォームをこぞって外したのは、クレジットカードサイトのフィッシングが流行ったせいなんだけど、全然他山の石になっていないのだね～。

ベリサインもただ証明書売るだけじゃなくて、「その使い方じゃダメですよ～」くらい言ってくれればいいのにね。ただ証明書沢山売りたいがために、いろんな
種類の証明書作ったり、携帯用EV-SSLなんて、即効廃止しちゃったりして、なんだかあんまりタチの良いビジネスじゃないなぁ～なんて思ったりして。

なんだかんだいって、俺様の会社でも、いまだにログインボックスを全ページに平気で置く提案をしちゃったりする人がいるのだが、ここを見ている君、そんな提案しちゃダメだよ。

“[どうでもよいこと]非SSL領域にログインボックス置くなよ”へのコメントはありません。

コメントはありません。是非コメントしてください。

コメントする

Name (required)

Mail (will not be published) (required)

Website

XHTML: 以下のタグが利用可能です: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Trackback