春山征吾のWiki - Security/おかしなフォーム
個人情報などを収集するフォームで, おかしなものを集積します.
@haruyama
の主観でおかしい, おかしくないを決定します. 追加, 削除, ご意見は
@haruyama
までお願いします.
住所などの個人情報の取得を目的としていないものは, 基本対象としません. ただし, 私の主観でおかしいと思ったものは取り上げます.
「httpsページ」という言葉の意味は, https のURLで示されるページでブラウザで表示すると鍵マーク(ないしそれに類するもの)がでるページのことです. 「まともなhttpsページ」とは, httpsページのなかでサービスや会社のドメイン名がURLに含まれているものです.
企業とは関係ないドメインのhttpsページ
元の企業のまともなhttpsページからリンクされていれば, 元の企業と契約していることが明確になるが, それをユーザに要求するのは多くの場合問題だ.
許容できるのは決済代行サイトくらいではないか?
決済代行の場合, 元の企業のhttpsページからリンクされている場合が多い.
決済代行でもちゃんとしていない例はありそうだ.
採用ASP を利用している企業に多い
どうすればいいのか
可能であれば自社/自サービスドメインで完結するようにする
リクナビなどの応募者が別に信用できるサイトでやる
応募者がそのサイトに対して(応募企業のページだと誤解せずに)会員登録してから利用するのであればよい.
どうしても他のドメインのhttps ページを利用しなければいけない場合(決済代行サイトやすぐに変更が難しい場合など)は, そこに遷移する前のページを自社/自サービスのhttpsページで提供する.
採用ASP
他にもたくさんあるだろうけど春山が確認したもののみ記載する.
住所などの重要な個人情報を応募の際に取らなくてもいいんじゃないか, という話は
ソフトウェア開発者採用ガイド(春山征吾版)
にて.
企業名は完全な確認を取ったものではない
https://*.saiyo.jp/*
https .saiyo.jp - Google 検索
NTTドコモ(過去に利用していた模様), サイバーエージェント, ECナビ
https://*.jposting.net/*
https jposting.net - Google 検索
ドワンゴ, 楽天, ミクシィ
https://r-ships2.jp/*
https r-ship2.jp - Google 検索
ヤフー, ミクシィ(2013/10からは遷移元が https ページになった)
https://www.hr-efit.net/*
たぶん検索エンジンを避けている
ネクソン
EC系
https://secure.shop-pro.jp/*
遷移元ページURL が https で 自社ドメインならば許容範囲だが, そうでない例が結構ある模様
カレログ
それ以外
https://*.sakura.ne.jp/*
https sakura.ne.jp -http - Google 検索
https://*.smartseminar.jp
smartseminar.jp https - Google 検索
itmedia のセミナーもこの ASP を利用している. itmedia の場合は講師の方のTwitter で本物であると認識できる(場合が多い)が, 別ドメインにしないほうが望ましいのは明らかだ.
https://pro.form-mailer.jp/*
SSL・携帯対応の無料メールフォーム作成ASP「フォームメーラー」
https://qooker.jp/
Suicaデータ提供の除外要望申請フォーム
遷移元がhttpページ
遷移先がhttpsページであっても, 遷移元がhttpでは遷移元が本当に企業のページなのかユーザにはわからない
itmedia
例:
http://corp.itmedia.co.jp/corp/recruit/career_form...
https://corp.itmedia.co.jp/
には繋がらない模様.
salesforce
salesforce を利用したフォームにもこのような問題が多いと聞いている
salesforce では別に利用しているドメインを適用できない(らしい)ので, 自サービスと似て非なるドメインを取得しsalesforceのフォーム用のドメインとして利用するという例がある(この例は確認している.
http://www.provider-navi.jp/*
から
https://provider-entry.jp/
に遷移する. provider-entry.jp は salesforce でサービスしていると聞いている)
http ページで https な iframe
会員登録:転職支援サイト KLabキャリア
http://www.klabcareer.jp/entry/
なくなりました.
httpページで iframe で https の自社ドメインページを指定している.
https://www.klabcareer.jp/
も有効なのでそれにすればいいのだが,
http://www.klabcareer.jp/
から遷移すると http のままだ.
2012/04/01に確認したところ
http://www.klabcareer.jp/
から遷移すると https になる. ただし
http://www.klabcareer.jp/entry/
では http のまま
そもそも iframe 使わなければいいのに.
オンライン仮登録|ウェブ業界、モバイル業界、ゲーム業界の転職に強い就職支援サービス|スマビジ
Contact - お問い合わせ | Media Technology Labs (MTL) : メディアテクノロジーラボ
http ページで https なポップアップ
インターファクトリー採用サイト
「ENTRY 応募する」から遷移すると
https://service.ebisumart.com/INTERFACTORY/apply.h...
がポップアップで出る. ebisumart.com は主力サービスのドメインのようだ.
ポップアップでは鍵マークなどが確認できないのでポップアップをやめ, interfactory.co.jp かそのサブドメインに入力ページを作るべき.
http ページ
https を指定すると証明書が不正だったりする.
エントリーフォーム(キャリア採用)|株式会社エニグモ 採用情報
粗大ごみ受付センター
その他
お問い合わせ | 株式会社ビープラウド
現在はフォームではありません(2013/12/01)
メールアドレスにフォーカスすると「当社は個人情報を第三者に開示致しません。」と出てくるが, このフォームは wufoo.com のものをiframeで呼んでいる. 当社とはビープラウドなのかwufooなのか?
Twitter / @ockeghem: 脆弱性診断のリリースから問い合わせに遷移したらHTT ...