Ref: Webアプリの欠陥検査方法

要チェックです。

引用をしてみる。

検査はまず、「WebアプリケーションがSSL保護を謳っているか」をチェックし、個人情報が暗号化によって保護されているかを調べる必要があるという。その際に、情報の送信先が「https://」となっていない場合は、改ざんにより盗聴される危険があるため、注意が必要だとしている。

職場ではログイン画面だけhttpsで始まるURLへ飛ぶのですが、ログインをすると、すぐにhttpな画面へ飛ばされます。なんとなくセッションを奪える危険性が高そうな予感がしています。といってまじめに調べても報告する場所がないので何もしてません。でも職場全体としては通信路の暗号化もなんにも意識せずに「パスワードはたまに変更していればいい」という程度の認識です。さすがにパスワードをコンピュータ画面に貼っている人はいませんが…。

そのまえにユーザー本人がパスワードを変更できないシステムもあるので、そっちをなんとかしてくれないかなぁ。覚えられないんだけど。