TLS未対応の個人情報収集フォーム(2)

このタイトルでシリーズものにする気は無かったのですが、愛甲商工会のWEBサイトでより大きな問題に気が付いたので、あと何回か続きます。

 

トップページにある「会員用ログイン」というバナーから全国商工会連合会の「100万会員ネットワーク SHIFT 事業者用ログイン画面」にリンクされているのですが、このログインページが暗号化されていません。

 

リンク先URLが「http://ec.shokokai.or.jp/cmsdb/login.php?ken=14」となっています。
流石に、いかがなものかと思います。

 

なお、検索サイトからであれば、ちゃんと暗号化されたhttpsのログインページへアクセスできるようになっています。







 

なぜ、このような状態になっているのでしょうか。
あくまでも推測に過ぎないのですが、以下の様な経緯だったのだろうと思われます。

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
1、暗号化通信が無い、あるいはまだほとんど普及していない時代に、全国商工会連合会が平文のhttpで会員制サイトを作成する。
2、愛甲商工会が、会員ログインページへのリンク(http)が張られたバナーを設置する。
3、暗号化通信が徐々に普及しはじめ、ログイン情報を保護すべきという意識がWEB業界で高まる。
4、全国商工会連合会が暗号化通信を導入し、会員ログインページをhttpsで作り直す。
5、ユーザーのPCやブラウザが古い場合、適正なバージョンの暗号化通信に対応できないケースも想定されるため、httpのログインページも閉鎖はしないで残しておく。
6、「今後の課題」として、いずれユーザー側でも暗号化通信対応が当たり前のものになった時点で、httpのログインページを閉鎖することにする。
7、その時がくる前に、全国商工会連合会の誰もが「今後の課題」を忘れてしまい、httpのページがずっと放置される。
8、愛甲商工会の誰もが、バナーのリンク先をhttpsの方に切り替える必要性に気付かない。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

 

出前館のケースにも共通していますが、せっかく暗号化通信を導入しても、既存のhttpページ自体やそこへのリンクを放置したままでは、意味がありません。

 

※バナーが設置されているのはあくまでも愛甲商工会のページなので、全国商工会連合会が直接管理しているわけではありません。
そのような、「ずっと前に他者WEBサイトに埋め込まれた、自WEBサイトの古いURL」まで責任を持って修正することは不可能です。
そのため、httpのページ自体は削除せず、中身を改修することでhttpsのページへ誘導する方が良いと思います。

 

実際には、会員ログインページがhttpであってもログイン自体は正常に出来るはずなので、「問題」としては認識されにくいのでしょう。

このような「忘れられたまま放置されているhttpログインページ」は、おそらくそこら中にあるのではないでしょうか。
6・7に挙げた様な「失念」(あるいは意図的な問題先送り)は、どんな組織や個人でも起こり得ることなので。

 

もしこのブログをご覧の方の中にWEBサイトやドメインの管理をされている方がいらっしゃったら、一度サイト内の全ページを総点検してみることをお勧めします。

<つづく>