- 2019年10月27日 13:11
今月の初め頃だったか、JALマイレージバンクからのメールを抑制しようと、マイレージバンクへのログインを試みた。
だがしばらくログインしていなかったためか、生年月日と登録電話番号の入力を求められた。
最近の登録には携帯電話番号を入れているのだが、JALの場合は自宅の電話番号と携帯電話番号を入力させる。
その自宅の電話番号が分からない。
一体いつの時点で登録した番号だろう?
何度も失敗するとアカウントがロックされるかも知れないので、電話番号が分からない場合にどうしたら良いかを問い合わせる事にした。
問い合わせフォームに必要事項を入力するが、こちらのメールアドレスや氏名の入力欄がない。
もしかしたら次のページでそれらを入力するのかな?と思いながら、次へのボタンをクリックした。
すると、そこには登録情報そのものが表示されている。
当然登録電話番号も表示されている。
これで間違いはありませんか?と。
実はIDとパスワードでログイン状態になっていて、メニューに行けないだけだったのである。
こういう所なんだろうな、セキュリティの甘さは。
いくらログイン時にパスワード以外の情報を求めたところで、別の経路で何かをするとそこに全てが表示されてしまう。
JALのWeb系は結構アレな所があり、以前はメールのHELOが正しく設定されていなかったのでspam扱いされていた。
これは連絡すると、しばらくして修整しましたと返事が来た。
今回もJALには連絡しておいたので今頃は直っているかも。
何かを作る時に重要なのは正常系ではなく異常系の振る舞いだ。
某無線機器を作った時もボタンの誤操作や複数同時押しなど、テストチームで何時間も操作を繰り返した。
だが製品が出荷されると程なくしてクレームが来た。
データ受信が開始された直後に特定のボタン操作をすると異常が起きるという。
検証すると、ほんの50ms位のタイミングに入ると異常になることが分かった。
テストチームの操作はそのタイミングに、たまたま入らなかったのだ。
これなどはスマートフォンのバグなどと同じでクリチカルなタイミングで起きるものだが、JALのバグは酷いだろう。
サーバの弱いYahoo系でもJALと同じようなことは起きる。
別のサービスのリンクをクリックして再認証を求められることがあるのだが、いったん元のページに戻ってから再度行くと認証無しでページが表示される。
二段階認証は確かに有効なのだが、そもそも認証ページをすっ飛ばせるバグがある以上全く意味は無い。
- Newer: レコードは高かったのか
- Older: 天気が悪いなぁ
コメント投稿には JavaScript が必要です。ブラウザのJavaScript 機能を有効にしてください。
サインインしなくてもコメントの投稿は出来ます。
サインインしている場合はお名前などを入力せずに、そのまま投稿できます。
登録は簡単&それによって何かが起きるわけではないのでお気軽にどうぞ。
登録ページ書き込み→確認メール送信→確認メールのURLクリックで承認、の手順です。
確認メールに書かれたURLにアクセスしないと登録は完了せず、正しいログイン状態に移行できません。
コメント投稿完了までには少し時間がかかります。
二重投稿にご注意下さい。