QUOIT Blog

セキュリティの落とし穴

この記事は6年以上前の記事です。情報が古い場合がありますのでお気を付け下さい。

プログラミングをする上で、セキュリティを意識することは大変重要です。
知識が足りないためにセキュリティホールを作ってしまうこともあれば、思わぬ落とし穴があることもあります。
ふと一つ見つけてしまったので参考事例を。

リクルートが運営する「じゃらんネット」を見ているときのこと。
新規会員登録をしようと思って必要事項を入力していると、「郵便番号から住所を探す」という機能がついてました。
(画像の下のほう)

最近よく見る機能です。僕もよくつけます。

何の気なしに「住所検索」ボタンを押してみると、今入力していたページを再読み込み・・・。

・・・ん?

ちょっと待てよ、と。

今のページ、パスワード入力してたんだけどなー。。と思ったわけです。

更新したページのソースを見てみると、案の定パスワードが平文で通信されてました。

残念なのは確認ページでそのパスワードが暗号化されていること。

フロント側には「セキュリティの観点から表示しません」って書いてある。
(っていうか確認のためのパスワード入力データはhiddenに埋め込む必要ないだろとかいろいろありますが)

うーん…おしい!w

まぁこのサイトに関して言えばSSLで通信してるのでさして大きな問題ではないとは思います。
が、もったいなさ過ぎる。

この場合、統一性を持たせるための正解は「住所の自動入力のための通信はAjaxで行なう」でしょうね。

担当者が複数人になったりすると起こりがちなのかもしれませんが、これはもし致命的なバグに繋がっていたら…

気をつけなければいけませんね。

Comments are closed.