損保ジャパンの自賠責更新ハガキが届いたけどアレだった。
HTTPは有りません。HTTPです。ありえないです。 QRコード対応するより先にやることがあるはずです。
HSTS も効かない。
HSTSやリダイレクトが効いてるなら、まだ少しだけ救いようがある。
>curl http://ijibai.com
駄目です。CP932です。JSでリダイレクト代替してます。アウトです。
curl http://ijibai.com | nkf % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 488 100 488 0 0 9967 0 --:--:-- --:--:-- --:--:-- 10166 <!DOCTYE HTML PUBL8IC "-//W3C//DTD HTML 4.01 Transitional//EN"> <HTML lang="ja"> <META HTTP-EQUIV="Content-Type" Content="text/html; charset ="Shift_JIS"> <META HTTP-EQUIV="Content-Script-Type" Content="text/javascript"> <TITLE>自賠責保険インターネット契約【i自賠】</TITLE> </HEAD> <BODY onload="JavaScript:OnClick_smp();"> </FORM> <script type="text/javascript"> function OnClick_smp() { location.replace('https://ijibai.sompo-japan.co.jp/koukai_auth1'); } </script> </BODY> </HTML>
リダイレクト先がめちゃくちゃ
LetsEncryptとかでHTSTSを設置してればいいものを
しかも、オレオレ証明書なので、CDN設定をミスってるのだろうか
てか、よく見ると、これ同居型のホスティングじゃね?
curl -v https://ijibai.com * Trying 153.122.205.49:443... * Connected to ijibai.com (153.122.205.49) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * TLSv1.0 (OUT), TLS header, Certificate Status (22): * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS header, Certificate Status (22): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS header, Certificate Status (22): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (OUT), TLS header, Unknown (21): * TLSv1.2 (OUT), TLS alert, unknown CA (560): * SSL certificate problem: self-signed certificate * Closing connection 0 curl: (60) SSL certificate problem: self-signed certificate More details here: https://curl.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
OH...ドメインパーキングですわ。
しかもリダイレクト先のURLは、最初のドメイン名と違う。
しかも多言語設定を放置している。
せっかくフレームワークに多言語設定があるのに、それを放置するので、表示が壊れている。
駄目すぎる
ポイントは次のところ
- この記載URLはリダイレクト専用。
- httpでリダイレクトする。
- 実際の契約画面は別のドメイン。
ドメイン名を軽視しているのは、違う。
リダイレクト専用であっても契約画面のドメイン名をはがきに記載しないと意味がない。
そもそも、手打ちでURLを入力させたいなら、短縮URLを社用の作成すべきだろう。 そうじゃないなら、QRコードを使うべきだろう。
HTTPSをちゃんと扱えてない。
HSTSあつかうどころか、JSでリダイレクトですよね。コレではプロトコルによる通信での安全確保が動かないです。そもそも、HTTPで運用するという神経がセキュリティを軽視している。
晒し上げ。
こんな会社が、セキュリティ対策を云々で高額な費用を掛けているとかちょっとねぇ。
基本的なところを見逃す。ってやばくないですかね。
客の安全より社内のセキュリティを重視しているのでしょうね。
こんな会社、サーバー書き換えられてクレカ情報入力フォームが改ざんされてカード情報を抜かれて事件になってもおかしくない。
ということで、晒し上げました。
オトナの約束だよ。
— takuya@osaka(令和最新版) (@takuya_1st) April 6, 2024
こう言う会社になっちゃダメだよ。
え?どこかって?損保ジャパンって言うんだけど。控えめに言ってクソだよね。 pic.twitter.com/05dx175V83