セキュリティについてのことは以前から記事を書いておりましたが、
あまりに驚くことがありましたので、一言申し上げたい。
タイトルが釣りなのは鼻から承知。
携帯サイトの開発の方には既に知れている問題なのかもしれませんが…
気付いたのはユーザからの問い合わせがあったから。
「携帯電話のキャリアを変更したらログインが出来なくなった」というものです。
「以前のメールアドレスとパスワードを入力しようとしたら、パスワードが数字しか入力できないみたいなんですよ」
…え?
そんなバカなことあるかいな、はっはっはと思っていたら
そんなバカなことありました。
公式サイトに注目。
KDDI au: 入力フォーム変換仕様 > <input type=”password”>/<input type=”radio”>/<input type=”checkbox”>
簡単に言いますと、
<input type=”password” />
↑これは
<ENTRY KEY=”PASSWD” FORMAT=”*N” NOECHO=”TRUE” NAME=”__card4″>
<ACTION TYPE=”ACCEPT” TASK=”GO” DEST=”#__card2″> PASSWORD:
</ENTRY>
↑こう変換されるんですって。
HDMLっていう、日本ではauだけが採用している記述方法です。
で、何が問題かと言うと、この部分。
<ENTRY KEY=”PASSWD” FORMAT=”*N” NOECHO=”TRUE” NAME=”__card4″>
僕はHDML知らないので調べてみました。
なになに。「FORMAT=”*N”」は数字のみの入力を受け付ける…
待って下さいよ。
なーんでそう変換しちゃったんでしょうかね!?
これはHDMLの仕様が問題なのではなく、
auが <input type=”password” /> を勝手に数字のみでいいよねって解釈しちゃったのが問題です。
そりゃあ、知ってればHDMLで組めばいいんでしょうけど、なんでauがこういう仕様にしたのか全く意味がわかりません。
教えてえらいひと。