2013年01月20日

SSLをログイン情報入力画面から使用していない脆弱性のあるサイトを調べてみた このエントリーをはてなブックマークに追加

2005年あたりから高木浩光先生がこんな指摘をされている。
高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも
理由としては上記日記から引用するが
SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはなら ない理由のもうひとつの重大な理由は、パケット改竄可能な状況での盗聴が可能になってしまうからだ。
ということのようだ。
あれからもう7年以上経過しこれは浸透しているのかなと思ったがまだログイン画面がSSLに対応していないところもあるっぽい。「SSLでのログインはこちら」とSSL利用、非利用のログイン画面を分けているところもある。個人的にはSSLのログインのみ可能にしていればよいと思うがhttpでのログインを何故用意しなければいけないのか合理的な解答が思いつかないので識者の方、教えてください。

まあ、Webの最北端に書いてあるこのページの情報はそんなに目にされることはないのでどの程度効果があるか知らんがGoogleさんで調べてみた結果をまとめてみることにした。

Googleで検索したのはこんな検索式。
intitle:ログイン画面 inurl:http://
intitle:ログイン inurl:http://
どのようなサービスをやっているのかは今回の調査では特に調べず、あくまでも上記検索式にヒットしたサイトを幾つか紹介するという感じである。
(SSLのログインを併用しているサイトもピックアップしています。上記検索式にヒットしないが、この手のサイトでダメな例によく取り上げられるのがmixi(ミクシィ)ね。)
で、その結果がこんな感じ。
  1. Ameba (アメーバ)|いっぱい遊べる!コミュニティ&ゲーム SNS
  2. JALマイレージバンク - 会員ログイン
  3. ログイン|Ponta [ポンタ]
  4. nanacoギフト / ログイン
  5. ログイン - ポイントタウン byGMO
  6. 「アクセスメール」- ログイン
  7. ログイン - ハンゲーム
  8. ログイン|無料ゲーム・オンラインゲームはネクソン
  9. ログイン | Capcom Online Games(カプコンオンラインゲームズ)
  10. 日本最大級のPC・スマートフォン対応アフィリエイトサービスA8.net
  11. 会員ログイン|FX|外為オンライン FX取引 − あなたの為の、外為を。
  12. ログイン|FXなら安心と信頼のFX セントラル短資FX
  13. お客様ログイン | FXCMジャパン証券
  14. 野村證券健康保険組合−ログイン
  15. マイナビ2013 - ログイン画面
  16. ログイン画面 | 転職・求人情報サイトのマイナビ転職
  17. ログイン 日経BPビズボード
  18. にほんブログ村 ログイン
  19. ログイン|パーソナルクラウド・データ保存・ファイル共有はマイポケット
  20. ログイン|ポイント&懸賞でお得なネットライフをお届け! フルーツメール
  21. ログイン|ひかりTVWeb会員
  22. ログイン - Stickam JAPAN!(スティッカム)
  23. ログイン 企業ユーザー向けライセンス版ダウンロード McAfee
  24. ABC Cooking Studio 会員専用サイト ログイン画面
  25. ログイン画面|速レポ〜お支払計算書・各種提供データ内容照会サービス|法人・加盟店サービス|ジャックス
  26. 楽天トラベル:楽天会員ログイン画面
  27. 【たのめーるインフォ】ログイン画面
  28. Cisco Entrepreneur Institute: ログイン画面
  29. 見積ログイン | 三井ダイレクト損保(クイックナビゲーション)
  30. 山口県立大学YPU Mail for Students - ログイン
  31. JTB旅ホ連ネット:ログイン画面
  32. 群馬物産館eCommerceユーザログイン画面 - 日本医薬品販売株式会社
  33. 社団法人 日本産科婦人科学会 ログイン画面
  34. 文京学院大学・短期大学学習支援サイト: ログイン画面
  35. アクアネオス ログイン画面
  36. PubMedCLOUD ログイン画面
  37. 日清医療食品会員さま専用ログイン画面
  38. ログイン画面|医中誌Web
  39. ログイン画面|CROOZブログ
  40. SPCグループウェアログイン画面
  41. ログイン画面−学習の高速道路・高校生向け映像教材、映像授業|ベリタス・アカデミー
  42. デマンドモニタリングシステムログイン画面
  43. Alliant International University: ログイン画面
  44. アヴァンス 法務事務所 お客様ご利用履歴照会 ログイン画面
  45. JOVY加盟店様サイト ログイン画面
  46. トータルマリアージュサポート ログイン画面
  47. 岡山おもてちょうサイト-ログイン画面ページ
  48. 臨済禅 黄檗禅 公式サイト : ログイン画面
  49. よそうかい.com ログイン画面
  50. LOGIN - BPRESSONE -
まあこれでも高木先生のご尽力により減ってきているんだとは思いますが、中には金融系のサイトや企業情報を取り扱うサイト、かなり有名なサイト(驚き)などもあります・・・
個人的な感想としては医療系のサイトに不備が多いように見受けられます。
サイト担当者の方は何かの間違いで検索エンジンに引っ掛かってこのページをご覧になったらWebサイト構築担当者に一度ご相談いただき、是非修正いただきたいものであります。
よろしくばい。

(2013/1/27 23:30 調査サイトを追記)
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2013年01月14日

動体視力抜群のネコ このエントリーをはてなブックマークに追加

これはすごい。
はじめは3つからスタート。
次にひとつ増やして4つ。
ネコはキチンとみてるので勘ではないはず。賢いネコだねぇ。

( via Kido's First Shell Game - YouTube )
posted by りょーち | Comment(0) | TrackBack(0) | 海外オモシロネタ

2013年01月13日

赤塚不二夫公認サイトのパパが答える質問コーナーがすごい このエントリーをはてなブックマークに追加

赤塚不二夫公認サイトこれでいいのだ!!にあるパパが答える質問コーナーの質問と回答がいろいろすごいな。
中には目から鱗の回答も・・・
これを読めばあなたも赤塚不二夫通にw

中の人がかなり丁寧に質問に答えとるな。暫く気にしてみてみるか。

( via 赤塚不二夫公認サイトこれでいいのだ!! )
posted by りょーち | Comment(0) | TrackBack(0) | 気になるサイト

2013年01月12日

Web Developer Checklistが便利 このエントリーをはてなブックマークに追加

これ、Webサービスの開発者向けのチェックリストの決定版じゃね?

チェックリストは11個の大項目からなり、各項目ごとにチェックに必要なWebサービスへのリンクが張られている。さて、みなさん全部チェックしてますか?
以下全文紹介してみるばい。

Best practices
Mobile
Analytics
Performance
Usability
Code quality
SEO
Semantics
Accessibility
Security
...and finally


なかなかこれだけチェックするのは大変だがやっぱキチンとしたサービスをリリースするにはこのくらいしなきゃいけないのかねぇ・・・

( via Web Developer Checklist )
posted by りょーち | Comment(0) | TrackBack(0) | Web周辺技術

2013年01月09日

Twitter , Facebook , Google+の投票結果がひどい このエントリーをはてなブックマークに追加

Google+経由で知ったIf you could use only one, would you choose Twitter, Facebook, or Google+?に投票してみた。
勿論私はGoogle+に投票した。
投票結果はなんと大幅の予想を覆してGoogle+が現在優勢っぽい。

View poll on GoPollGo

しかし、そのあとの仕打ちが酷い。

投票結果をみんなにシェアできるようなのだが、その画面がこれ。

gplus_vote.png

ちょ、Google+どこいった?

やっぱ不遇のSNSなのかのぅ・・・
posted by りょーち | Comment(0) | TrackBack(0) | 自分メモ