前回の投稿が2018/11/28でしたが、それから1週間以上たった2018/12/8でも、まだ「100万会員ネットワーク SHIFT 事業者用ログイン画面」はhttp(TLS未対応)版が存在していました。
全く気が付いていないのだろうと思い、お問い合わせフォームの担当者へ指摘のメールを送ったところ・・・
2018/12/11に回答がありました。
投稿者: ssmshibata
TLS未対応の個人情報収集フォーム(4)
全国商工会連合会のお問い合わせフォームから、「100万会員ネットワークのログイン画面が暗号化されていない」ことを指摘しようとしたのですが・・・・
そのお問い合わせフォーム自体も、暗号化されていませんでした。
TLS未対応の個人情報収集フォーム(3)
現在では、会員制WEBサイトや個人情報収集フォーム等、機密性の高い通信は暗号化(https)されることが一般的ですが、そうなったのはいつからだったでしょうか。
様々な見方があるでしょうが、判断の材料となりそうな情報をいくつか集めてみました。
TLS未対応の個人情報収集フォーム(2)
このタイトルでシリーズものにする気は無かったのですが、愛甲商工会のWEBサイトでより大きな問題に気が付いたので、あと何回か続きます。
トップページにある「会員用ログイン」というバナーから全国商工会連合会の「100万会員ネットワーク SHIFT 事業者用ログイン画面」にリンクされているのですが、このログインページが暗号化されていません。
TLS未対応の個人情報収集フォーム
Office365+SSO環境でもSharePoint Designer 2013を使えます。
SharePoint Designerは、SharePointのサイトやアプリケーションを開発するためのMicrosoft純正無償ツールです。
("SharePointに特化したWebオーサリングツール"と言う人もいます。)
バージョンは2007/2010/2013と、Office製品と同じようにリリースされて来ましたが、2016以降のバージョンや後継製品はありません。
そのため、2013が最終かつ最新となります。(SP1も出ています。)
TLSのバージョンを確認してみましょう。
IT技術職の方でなくとも、インターネットの通信を暗号化する「SSL」(セキュア・ソケッツ・レイヤー)という言葉を聞いたことがあるかもしれません。
通信が暗号化されていない状態(これを平文といいます)だと、傍受されたら内容が筒抜けになってしまいます。
そのため、例えば通販サイトでクレジットカードの情報を入力する場合などには暗号化が必須です。
忍び寄るMicrosoft 365
日々の業務でOffice 365 の管理をされている方ならすでにお気づきかと思いますが、いつの間にか「Admin Center」 (管理センター) のタイトル表記が変更されて「Microsoft 365 admin center」になっていました。
スロットリングと安否確認
「スロットリング(throttling)」と聞いて胃が痛くなる人は、きっとメール(SMTP)システムを本格的に運用されているんだと思います。
知らない人は、知らないままでいた方が幸せかもしれません…
スロットル(throttle)は、動詞だと「抑圧する」・「首を絞める」という意味です。
名詞としては、自動車などのエンジンで燃料の流量を調整する「絞り弁」のこととなります。
概ね「流れを止める」というニュアンスのようです。
メールシステムにおいてそんなことをしたら、すなわち「メールが届かない」ということになります。
迷惑な話だと思われるでしょうが、実際に時々行われていますし、そこには一応ちゃんとした理由もあります。
決して、偶発的な事故や悪意のある攻撃ではありません。