このことをAmazonに伝えても全く理解できていないようで、なかなか改善されない。
で、もしかするとサインインページの「http://」を「https://」に変えたらいけるんじゃないか?と思って試してみたらあっさり成功。
とりあえずこれでIDとパスワードは守ることができます。
この方法がいつまで有効かはわかりませんが、TOPページのリンクを変更するだけで済むことが証明できたので早く直して欲しいところです。
追記)
セキュリティについて詳しい高木さんがちょうど同じ日に同様のことを書かれていました。
「SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも」
追記2)
quintiaさんからのツッコミ。
[tech]高木さんがきちんと書いてメールのやりとりまで開示しても伝わらないセキュリティのもどかしさ
指摘ありがとうございます。
確かに読み返してみると正しく伝わらない言い方になってますね。このやりとりを分かりやすくするためにあえて上の文章は修正しないことにします。
TOPページを開いた時の通信過程でページを改竄して、正しくないサーバにサインインのデータを送信させて盗み取ってしまう、という攻撃がありうる。その様な状況を放っておくのか?もちろんそれもありますがさらに追加すると、
「サインインページ自体が改竄されている可能性があってそれはHTMLソースを見たところで改竄されていないという保障はない」
だから
正しくないサーバにサインインのデータを送信させて盗み取ってしまう、という攻撃がありうる。その様な状況を放っておくのか?ということになると思います。
まだおかしな事を言っていたら指摘してください。
追記3)
Amazonの安全な使い方
サインインページで何も入力しないで「サインイン(セキュリティシステムを使う)」をクリックすれば正規の手順でSSLになるんですね。知りませんでした。
Amazonに問い合わせをした時、
「「サインイン(セキュリティシステムを使う)」という黄色いボタンをまずご確認ください。そちらのボタンをクリックされますと、セキュリティシステムを介してサインインされます。」
という返事が来たのですが、この方法のことを言っていたのかもしれません。
でもそこにIDとパスワードの入力欄があるのは「入力してくれ」って言っているようにしか思えなかったです。
セキュリティについて関心の薄い人は入力しちゃうと思うんですけどね。
実際入力しなかったら
「***入力情報にエラーがあります(下のエラーメッセージをご確認ください)***」
ってエラー表示になってしまうし。
【日記の最新記事】
