Your browser (Internet Explorer 6) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.
X
Post

アレすぎるセキュリティ対策

仕事で触れたとある管理画面のセキュリティ対策があまりに酷すぎたので。


と言っても、脆弱なのではなくて
セキュリティを考えた結果とてつもなく不便な仕様になっていたという話です。


このサイトはセキュリティの関係上ログイン可能なPCが制限されるような仕組みになっていますが、そこの仕様が……


・ログイン可能なPCは「最初にログインしたPC」のみ。
 二度目以降のログインはそのPCでないとログインできない
・同一のPCであるかの判定はクッキーで行っている。
 そのため、別ブラウザやクッキーを削除すると同一PCと認識されない。
・動作するブラウザはIEの特定のバージョンのみ。
 ここまでだったらまだいいのですが、
 これに加えて動作対象外のブラウザでアクセスした時処理を中断する仕組みになってない。
 つまりログインに成功し、管理画面に入ってようやく正常に動作しない事に気付くようになってます。
 しかし気付いた時にはすでにログインしている後で、別のブラウザでやり直す事はできない。
・管理画面上でこの「ログイン可能なPC」を増やしたり変更したりする機能はサポートしていない。
・ついでに、この辺りの説明書きもあまり重要そうには書かれていない。
 初回ログイン時に警告として表示されるという事もない。


つまり、まとめるこんな感じです。

・一度ログインすると、以降はその時のブラウザでないとログインできない
・最初に動作対象外のブラウザでログインするとロックされる
・クッキーを削除するとロックされる
・一度に2台以上のPCからログインできる仕組みになっていない


では、ロックされたり、ログインするPCを変更したい時はどうするか?


答え:サポートセンターに電話してログイン情報を初期化してもらう


これ、サポートセンターにどんだけ負担増やしてるんだろう……
この仕様だと初期化の依頼は相当来てるはずなんだけど。


これが小さい会社とかならまあしょうがない部分もあるかと思えるのですが、
運営してるのは国内有数の企業で、契約してるパートナー企業に提供してるもので
利用者もかなり多いはずなのにここまで面倒なものにぶち当たるとは思ってなかったです。


何ていうか……「これはねーよ」と心の底から思った。

TrackBack URL :

Leave a comment  

name

email

website

Submit comment