セキュリティーがらみでもう１件。

ちょっと前に三井住友VISAカードも１４件ほどの漏洩事故を起こしましたが、まぁ、仕方がなかったと思います。でも、クレジットカード会社がセキュリティ問題起こすととっても怖いですよね。

そんな中、クレジットカード会社のアメリカンエクスプレスが、ログインページを更新。JavaScriptを使ったとっても素敵なデザインへ。というか、パスワードというとても重要な物に、JavaScriptを使えるそのマインドがとっても素敵です。そして、見事、特定の方式で、パスワードが丸出しでみえちゃいます。無理矢理というか、パスワード管理ソフトとの相性が悪すぎです。JavaScriptを使うと言うことで、相当いろいろなテストケースを試さないといけないはずが、テストケースが不足しているのだと思います。

　いちおう、アメックスに通報してから公開と思ったのですが、Eメールで画像を添付して通報するルートがしばらく捜しても見つからなかったので放置。セキュリティの通報先がないって・・・

とりあえず、お願いですから、ログインパスワードの処理をJavascriptにするとか、Flash(ソフトウェアキーボードとの相性とか、パスワード管理ソフトとの相性とか、セキュリティソフトが監視してくれなかったり)とか、辞めてよ。シンプルに行きましょうよ、シンプルに

ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚

最初に。最近、パスワードを読めないようにする処理をしないなど、うわべは動いているけど、セキュリティ的には無知な人が作ったとしか思えないようなシステムが名の知れたサービスとかも含め、多数存在しています。安かろう悪かろうの乱造プログラムハウスが蔓延しているみたいです。
　セキュリティは難しい物で、漏洩するのは仕方がありませんが、漏洩したときの被害が尋常じゃないクラスの手抜きセキュリティサービスが本当に増えています。注意一秒ケガ一生。くれぐれも、自衛は忘れずに。パスワードはパスワード管理ソフトを使い、サイト事に変更するクセを付けましょう。(パスワード管理ソフトの自動更新はOFFにして、手動で更新しましょう)

(続きを読む…)