Hatena::ブログ(Diary)

konisimple log RSSフィード

はてなブログに移転しました!

2010年05月02日

早稲田大学生協の早慶戦チケット申し込みページが残念な件

さて六大学野球早慶戦のチケットの抽選に申込んだんだけど、その申込みページがひどかったので書いてみる。

早慶戦のチケットは抽選で、最初はメールアドレスと、学籍番号、名前だけで申込む。

早稲田大学生協 | 早慶戦チケット予約受付のご案内

f:id:konisimple:20100503002849p:image

この申込ページには

早稲田大学 生活協同組合ホームページは、ベリサインSSLサーバ証明書を使用して、あなたの個人情報を保護しています。

https で始まるアドレス上ではすべての情報がSSLで暗号化されてから送受信されます。

と書いてある。なるほど。

わざわざverisignSSL証明書までとってなりすまし、改ざん対策までしたのね!

メールアドレスや名前も暗号化されるから安心なのか!

うん。ちゃんとアドレスバーをクリックして証明書の有効性も確認できる!

しかしいざ送信すると、

f:id:konisimple:20100503002928p:image

ちょwwwhttpとかwww

つまり全く暗号化されてない!

生協の嘘つき!

なんも言わずに平文で送受信するならまだしも、いかにも「暗号化されてて安全です!」ってアピールしといて、実は暗号化してないとか詐欺じゃないのか!w*1

どうやらソースを読むと、formの送信先がhttp://から始まるアドレスになっていますね。

どうやら担当者がsを入れ忘れた模様。

おいww

実際にはデータの送り先がhttpsになってればよいので、フォームのページもhttpでよい。

sがいるのはフォームがあるとこじゃなくて送り先ですよ!*2

一番sが必要なところに抜けてますよ!

趣味じゃないんだから

ちゃんと確認しようよ!誰も気がつかなかったのかな。

てかせっかくSSL証明書とってんのに、使ってるスクリプトがこれじゃあverisignが泣くよ!w

改善策

メールフォームはhttpsでもアクセス出来るみたいなので、入力フォームのformタグのaction属性をhttps://にするだけ。

踏み台になる危険性

しかもソースを読むと、これどうやらただのメールフォームらしい。

f:id:konisimple:20100503004320p:image

ソース見た感じたぶん↓これですね。

レンタルサーバー@SERVER - フォームメールCGIの設置

ソースにメール送信先らしきアドレスが書いてあるけど、これ書き換えたら送信できるようだ。

これを悪用すると、生協のサーバからメールが送り放題ですね!

あーあw

*1:フラウザは暗号化されていないと警告してくれますが、その手のメッセージをどれだけの人が読んでるのでしょうか

*2:フォームがあるページもhttpsだとよりよい