mixiプレミアムって


https://secure.mixi.jp/signup.pl

ここからアクセスできるんですが、ここのSSLってComodo InstantSSLを使ってるんですよ。

CN = secure.mixi.jp
OU = Comodo InstantSSL
OU = Hosted by Comodo Japan, Inc.
OU = develop
O = mixi, Inc.
L = Shibuya-ku
ST = Tokyo
C = JP

取得は http://www.usertrust.com/ ってところ。
まぁ、Comodo InstantSSLってのもライセンスみたいなもんで、安くSSLが取得できるサービスをしてるところは結構使っています。

例えば
http://www.instantssl.co.jp/
http://www.j5.com/service/ssl.html
http://www.secsd.stier.org/normal_faq.html

ぶっちゃけ、SSL(https)にも色々あります。
例えば、verisignに代表される企業証明が必要なものから、InstantSSLみたいにお金払えば誰でも取れる
俺俺証明書より幾分マシなのまで。

Verisignは1年で15万と高価ですが、その分取得に2週間掛かり取得の際に登記簿謄本が必要だったりします。
(詳細話すと長くなるので省きます)

で、mixiの話に戻すと。
サインアップのページで、クレジットカードの情報取っています。
ソースを見て見ると、

<form action=signup.pl method=post>

となっていて、自分自身を呼び出しています。
この時に使用しているのが、Comodo InstantSSL。
一時的にとはいえ、企業証明すらついてないSSL証明書で
クレカ情報がやり取りされているわけです。

「ベリサイン サーバIDとペイメント・ワン社の決済システムを導入しています。」

っていうのは、クレカ情報をベリサインに流す時にベリサインのSSL通信しているってだけでしょうね。
signup.plがペイメント・ワンで使ってるスクリプトをキックして情報を暗号化して流す・・・と。
(ペイメント・ワン社のシステムはよく知らないです。ベリトランスのmegaとかflex、その辺りは詳しいけど、恐らくサーバ間通信でクレカ情報を渡して、その戻り値で判定しているかと思われます。)

というか、ベリサイン サーバIDを取得してるなら、secure.mixi.jp でその情報が取れてもおかしくないのに。
一部上場して話題になりまくってる割に、こういうところで手を抜いているのかなぁとちと幻滅。
あのウソバンクモバイルですら、BeTrusted(そこそこ信用あるところ)使っているのに。

技術的には、SSL暗号自体 verisign のそれと Comodoのそれは変わりません。
どちらも128bitなり256bitの暗号は掛かりますし。
ただ、それが企業証明付きでやるのと、金さえ払えば年1万で取れる証明書で行われているのとでは印象が全然違いますよね。
個人的には、mixiプレミアムにあのページで登録するのは怖いなぁと思いました。

ぶっちゃけ、securemixi.jp を取得して、Comodo InstantSSL でSSLを取得して偽サーバ作ったら素人さんなら騙されますよ。
SSLで警告は出ないし、パッと見わからんと思います。
しかも、securemixi.jpって今取得できるんですね・・・怖い怖い。
一部上場企業でも、この程度のリスクって思い浮かばないんでしょうか?

と、某ネット系企業で様々な企業向けに色々な会社のSSLを取りまくっていた自分の意見でした。
取ったSSLの中には、世界的な企業のSSLもありました。
(当時は企業証明取得の難しさに泣けましたよ、ホント。)
ブランドで選ぶってのもどうかと思いますが、クレカ情報とか個人情報等々扱うのに企業証明無しのSSLという怖さをもっと一般の人にも理解して欲しいです。
mixiって最近セキュリティ系の話がホント多いけど、元々こんなでっかくなるサービスじゃなかったんだろうなぁと思います。
人が増えていくのにどんどん、追加修正・・・追加修正・・・とやっていった結果が今のアレなんだろうな・・・と。
mixi自体を支えている技術者は凄いし設備も投資投資でキツいんでしょうが、もっと俯瞰して見れる外部技術者とか必要なんじゃないでしょうか?と老婆心ながら思います。
実は内部で、想像付かないようなセキュリティを確保してる可能性も否定できないので何とも・・・。

ただ今回の記事って端々すっ飛ばして書いてるし、めんどい説明は省いてるんで誤解も生みそうだなぁと思ったり。
ちなみに、この件はmixi運営部にお問い合わせ済みです。
何か動きがあれば、やった甲斐もありそうですね。

・・・風呂上がりの湯冷まし中に暇だったんでやったんですが。

コメントを残す

メールアドレスが公開されることはありません。