それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。
トップ > セキュリティ > 損保ジャパンの自賠責の更新ページが控えめに言ってクソだった

損保ジャパンの自賠責の更新ページが控えめに言ってクソだった

セキュリティ

損保ジャパンの自賠責更新ハガキが届いたけどアレだった。

HTTPは有りません。HTTPです。ありえないです。 QRコード対応するより先にやることがあるはずです。

HSTS も効かない。

HSTSやリダイレクトが効いてるなら、まだ少しだけ救いようがある。

>curl http://ijibai.com

駄目です。CP932です。JSでリダイレクト代替してます。アウトです。

curl  http://ijibai.com | nkf
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   488  100   488    0     0   9967      0 --:--:-- --:--:-- --:--:-- 10166
<!DOCTYE HTML PUBL8IC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML lang="ja">
<META HTTP-EQUIV="Content-Type" Content="text/html; charset ="Shift_JIS">
<META HTTP-EQUIV="Content-Script-Type" Content="text/javascript">
<TITLE>自賠責保険インターネット契約【i自賠】</TITLE>
</HEAD>
<BODY onload="JavaScript:OnClick_smp();">
</FORM>
<script type="text/javascript">
function OnClick_smp()
{
  location.replace('https://ijibai.sompo-japan.co.jp/koukai_auth1');
}
</script>

</BODY>
</HTML>

リダイレクト先がめちゃくちゃ

LetsEncryptとかでHTSTSを設置してればいいものを

しかも、オレオレ証明書なので、CDN設定をミスってるのだろうか

てか、よく見ると、これ同居型のホスティングじゃね?

 curl -v https://ijibai.com
*   Trying 153.122.205.49:443...
* Connected to ijibai.com (153.122.205.49) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS header, Unknown (21):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: self-signed certificate
* Closing connection 0
curl: (60) SSL certificate problem: self-signed certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

OH...ドメインパーキングですわ。

しかもリダイレクト先のURLは、最初のドメイン名と違う。

しかも多言語設定を放置している。

せっかくフレームワークに多言語設定があるのに、それを放置するので、表示が壊れている。

駄目すぎる

ポイントは次のところ

  • この記載URLはリダイレクト専用。
  • httpでリダイレクトする。
  • 実際の契約画面は別のドメイン

ドメイン名を軽視しているのは、違う。

リダイレクト専用であっても契約画面のドメイン名をはがきに記載しないと意味がない。

そもそも、手打ちでURLを入力させたいなら、短縮URLを社用の作成すべきだろう。 そうじゃないなら、QRコードを使うべきだろう。

HTTPSをちゃんと扱えてない。

HSTSあつかうどころか、JSでリダイレクトですよね。コレではプロトコルによる通信での安全確保が動かないです。そもそも、HTTPで運用するという神経がセキュリティを軽視している。

晒し上げ。

こんな会社が、セキュリティ対策を云々で高額な費用を掛けているとかちょっとねぇ。

基本的なところを見逃す。ってやばくないですかね。

客の安全より社内のセキュリティを重視しているのでしょうね。

こんな会社、サーバー書き換えられてクレカ情報入力フォームが改ざんされてカード情報を抜かれて事件になってもおかしくない。

ということで、晒し上げました。