東京でセキュリティの仕事をしている小江戸民のブログ
mixiにログインする際にアドレスバーがmixi.jpで始まっているのに気付きました。最近のブラウザはHTTP接続の場合はhttp://を省略するようになっています。
※画像です
まさかパスワードをHTTPで送信していないよね?と思い、ソースを見てみました。
<input value="/home.pl?from=global" name="next_url" type="hidden">
HTTPでした。入力したパスワードはSSL/TLSで保護されていません。ちなみに「SSLはこちら」は以下のようになっていました。
<form action="https://mixi.jp/login.pl?from=login1" method="post" name="login_form">
HTTPSではそのままHTTPSへ送信しています。これに関する問題は以下のページに詳しく書かれています。
これに加えて、mixi上には同様の問題が2点ほどあります。
SSLでのログイン後はHTTPのページに転送されます。ここで試しにホーム (http://mixi.jp/home.pl) のURLをHTTPS (https://mixi.jp/home.pl) にしてみるとHTTPに転送されます。もしやと思い、メッセージでも同じことをしてみました。
HTTPです。やり取りしたメッセージも保護されていません。重要な情報のやり取りは避けることをおすすめします。んーどうなのよこれ。
もう1つ、最初の画像にある「パスワード・メールアドレスを忘れた方」のリンク先も見てみました。
<form action=remind_password.pl method="post">こちらもHTTPのフォームに、HTTPで送信します。入力したメールアドレスおよびニックネームと生年月日は保護されていません。
これらのフォームではSSL/TLSの機能であるサーバ認証、暗号化、改ざん検出による保護がされていませんので、ご利用の際はご注意ください。ユーザによる注意でも安全にはなりませんけどね。
※タイトルで「ほとんど」としたのは、例えばmixiモールでは非ログイン時のログインフォームはHTTPSに転送されますし、商品をかごに入れた後の注文時のページもHTTPSになることを確認している事が理由です。
ちなみに、他のサービス(大きめので思いついた限りですので偏っています)では、パスワード再設定のためのページには以下のようにHTTPSが使われています。
ちなみにGREEもHTTPでした( http://gree.jp/?mode=common&act=password_reissue_form )。ここはあまり重要視されていないのかな。
コメントする