オレオレ証明書を使っている

httpsは通信内容の暗号化の他に、通信相手の認証も請け負っている。オレオレ証明書では認証ができないため、フォームを表示しているページがフィッシングサイトであっても気づけない。

オレオレ証明書、などという名前がつけられるぐらいにはよく知られている問題なのて、こんなミスを犯しているサイトはさすがに少ない。しかし、少ないながらも存在はしている。

httpsではない

むしろ、こちらの方がダントツに多い。登録フォームの表示画面がhttpsではないのだ。

画面がhttpでも、フォームのsubmit先がhttpsなら問題ないんじゃあ？と考えがちだが、それは間違いである。

個人情報等をSSLで暗号化していると謳っているWebサイトで、重要な情報の入力欄が http:// のページになっていることがあります。そのとき、サイト運営者が、「入力したデータの送信先は https:// になっているから暗号化されます」と主張することがありますが、それは誤りです。


入力欄のページが http:// であるなら、そのページは通信路上で改竄されている可能性を否定できません。サーバ側のHTMLファイルが https:// へ入力データを送信するよう書かれていても、利用者のブラウザに到着したHTMLでは http:// へ送信するよう改竄されている可能性があります。利用者がそのことに気づかずに情報を入力してしまうと、暗号化されずに送信され、盗聴されてしまいます。


SSLは盗聴を防ぐだけでなく改竄も防止する技術です。入力欄を https:// ページとしておき、利用者が入力の直前にそのことを確認することによって、SSLは有効に働きます。

AIST RCIS: 安全なWebサイト利用の鉄則 / よくある質問と答え

もちろん、submit先すらhttpsではないケースもある*1。

以上の理由から、魅力的な案件を揃えているのに、登録したいと思わせてくれないエージェントがいくつもある。

自分の個人情報を預けようというのだから、やはりこういう基本的なところはしっかりしてほしいものである。実際に盗聴される危険性もあるし、運良くそれが無くとも、個人情報のような重要な情報をかように杜撰に扱う様を目の当たりにしてしまうと、さすがに登録する気が失せる。さらには、こういう信頼できないエージェントに仕事の話を流しているIT企業への不信感すら招く。

そもそも、IT系の仕事を扱っているエージェントが、登録フォームなんていうとても基本的なサービスも満足に提供できないというのは、ゆゆしき問題ですよ*2。フリーランスに余所の企業の仕事を斡旋する前に、御社自身でフリーランスを雇ってサービスの作り直しをやるべきだと思います。

もちろん、しっかりした登録フォームを提供しているエージェントもあるので、現在そうしたところへの登録を始めている。

厳しいご時世ではあるが、いい仕事があるといいな！