2012年3月6日火曜日

mixi はホンマ恐ろしい所やで

みなさんこんにちは。
元気にしてますか?
ぼくは元気です。

ところで皆さん使ってます?mixi
ミクシィって読みます。
今日はちょっとmixiの怖い所をみんなに教えちゃうよ。

mixiのログイン画面が2つあるのを知ってますか?

mixi1
図1

 

mixi2
図2

まぁ、この時点ではっきりと2つの違いが分かってて、これから何を言おうとしているのか分かってる人は、多分以降は見ても仕方ないので、回れ右でOKです。

それぞれのアドレスバーを良くて見てみると、
図1はhttp:// で始まってます。図2はhttps:// で始まってますね。

なんだ、そんなことか、と。

ちょっと待ってください。本当にそんなことなんでしょうか。
世の中には色んなソフトウェアがあるもので、パケットキャプチャソフトというものがあります。
簡単に言えばネットワーク上に流れているデータをモニタリングすることができるソフトです。
今日はWiresharkというソフトを使って、2つのログイン画面から送信されるデータの違いを見てみます。


mixi1_input
図3

 

mixi1_packets
図4

図3は図1の画面にメールアドレスとパスワードを入れてみたところ。
図4は「ログイン」ボタンを押した際にネットワーク上に流れたデータ。
注目すべきは図4の赤枠の部分です。
入力したメールアドレスとパスワードが丸見えですね。
(いわゆる平文ってやつです)

例えば、ネットカフェとかで同じことされたらどうでしょうか?
・・うふふ(檸檬先輩風に)

じゃあもう一つのログイン画面はどうでしょう。

mixi2_input
図5

 

mixi2_packets
図6

図5は図2の画面にメールアドレスとパスワードを入れてみたところ。
図6は「ログイン」ボタンを押した際にネットワーク上に流れたデータ。
注目すべきは図6の赤枠の部分です。
Encrypted Application Data というようにデータは暗号化されて流れています。

つまりどんなデータが送信されたのか分からなければ、どんなページにアクセスしたのかも分かりません。
暗号化されてるから安心ですね。

というわけで、mixiにログインする際には気を付けてくださいね(httpsのページを使いましょうね)。
デフォルトのログインページがhttpなのはいかがなものかなぁ~と思うわけですよね。
同じようなことを何年も前に書いてる人いるだろうけど、何となく書きたくなったので。

ちなみにログイン後はどんなに頑張ってもhttpになるらしいので(自分が知らないだけかも)、日記やボイスの投稿もネットワーク上のデータをキャプチャされると全部丸見えですよ。

0 件のコメント:

コメントを投稿