クリティカルな情報を扱う Web サイトは SSL を使用する。当たり前である。しかし、何をケチっているのか知らないが、いわゆる「ログイン画面」が SSL でない Web サイトが多い。一体、何を考えているのだろうか。
超有名なショッピングサイトだから隠さない。以下を見てほしい。
思いっきり「http」である。目がかすんで「s」が消えて見えているわけではない。何度目をこすっても「s」はない。
私はここにパスワードを入力し、「サインイン(セキュリティシステムを使う)」を使うわけだが、そもそもこのページが改竄されていないという自信がない。
このページが間違いなく Amazon の正式なサイトだという自信がない。証明書がない。SSL じゃない。パスワードを POST する先は間違いなく Amazon だろうか?どっか変なところに POST しないだろうか?ソースを見て、POST 先のアドレスを確認しろというのか?というか、POST 先が確かに Amazon だとしても、最初のこの POST は盗聴可能じゃないのか?こんな事を考え出すと夜も心配で眠れない。
「サインイン(セキュリティシステムを使う)」をクリックすれば、その先がセキュリティシステムじゃないか?というわけではない。確かにここをクリックしたら SSL サイトに遷移する。しかしこのボタンはあくまで「サインイン」なのだ。パスワードを入力しないで「サインイン」をクリックすると「ご注文内容に、不備があります(以下をご覧ください)」と言われ、もう一度サインインを促される。
画面上の下の方の説明を見てほしい。「スタンダードシステム」とある。スタンダードシステムでは、サインインに成功しようが失敗しようが常に SSL ではない。セキュリティシステムとスタンダードシステムの対比から、この SSL でないログイン画面込みでセキュリティシステムだと言っているのである。
Amazon でセキュアに買い物しようと思ったら、一度サインインに失敗しないといけない。それが真のセキュリティシステムである。