haru.fmの、mixiアカウントでログインはいいのか
haru.fm という話題(に上り気味)なサービスがあって、はてなID、livedoor ID、JugemKeyID、OpenIDでログインできるという意欲的なサービスだと思っていたのだが、そこに「mixi ID でログイン」が。mixiは認証APIなんて無いよ。と、職場で物議を醸した。
ログインページのフォーム
このフォーム、送信すると、mixiのIDとパスワードが、haru.fmに送られてしまう。
「IDとパスワードを(ウチへ)送ってください」とは、フィッシングと同じなので、やめてほしい。*1
実際にログインすると、haru上のニックネームがmixiの会員番号を利用した適当なものになる。おそらく裏側で代理ログインをしてHTMLからmixiの会員番号を取り出しニックネームに使っているのかと想像。
この状況。
- フィッシング「詐欺」ではないのかもしれないが、ユーザを誘導して他所のパスワードを聞き出すという点では同じ。*2
- フィッシングの横行で「パスワードを入力するときはアドレスバーのドメイン名を確認」とさんざん言われているのに、それに逆行することを堂々とユーザに促すとは何ぞ。
- なぜmixiなのか?同じことをするならYahoo!でもなんでもいいように思える。
ブログで書き散らすだけでは何なので、直接メールも書いてみた。
実は、僕も確認せずに実際にmixiのパスワードをharuに送信してしまいました。有名どころでの認証が並んでいて、その中にmixiがあったからつい信用してしまった。自分は大丈夫と思っていたけど、やっぱりフィッシング詐欺に遭う可能性があるな、気をつけよう。